Versión 2
Este Protocolo de tratamiento de datos (“Protocolo”) forma parte integrante del acuerdo vigente entre Willis Towers Watson y el Cliente que haga referencia expresa a él (el “Acuerdo”).
Cuando el presente Protocolo utilice términos definidos en el Reglamento General de Protección de Datos de la UE (Reglamento (UE) 2016/679) o en el Reglamento General de Protección de Datos del Reino Unido, según se transponga en la legislación nacional por aplicación del artículo 3 de la Ley sobre (la retirada de) la Unión Europea de 2018, y ambos según puedan ser modificados en el futuro (cada uno, el “Reglamento”), se aplicarán las definiciones establecidas en el Reglamento respectivo según corresponda. “Leyes de protección de datos” se refiere a todas las leyes y reglamentos pertinentes relativos a la seguridad, confidencialidad, protección o privacidad de los Datos personales, según puedan ser modificados en el futuro, incluido (en la medida que corresponda) el Reglamento cuando sea aplicable a los servicios prestados en virtud del Acuerdo. En caso de incoherencias entre los términos de este Protocolo y los términos del resto del Acuerdo, prevalecerán los términos de este Protocolo.
El Cliente (“Responsable del tratamiento de datos”) declara y garantiza que los Datos personales que a los que da acceso, se han recogido de acuerdo con las Leyes de protección de datos aplicables y que tiene plena autoridad en virtud de dichas leyes para proporcionar dichos Datos personales a Willis Towers Watson (“Encargado del tratamiento de datos”) para los fines del Acuerdo y la prestación de los servicios, incluido lo establecido en la descripción del tratamiento en el Anexo 1 (“Descripción del tratamiento”). El Cliente cumplirá con sus obligaciones como Responsable del tratamiento de datos de acuerdo con la legislación aplicable.
Tratamiento de datos
Con respecto a los Datos personales tratados por el Encargado del tratamiento de datos en nombre del Responsable del tratamiento de datos:
1.1. Cumplimiento de las leyes.
Ambas partes cumplirán con las Leyes de protección de datos y no causarán conscientemente una infracción de las Leyes de protección de datos a la otra parte.
1.2. Limitaciones de uso.
El Encargado del tratamiento de datos tratará los Datos personales sólo para los fines descritos en el Acuerdo, incluida la cláusula 1.5 a continuación y la Descripción del tratamiento, y sólo según se acuerde mutuamente por escrito entre el Responsable y el Encargado del tratamiento de datos, a menos que las leyes aplicables exijan lo contrario, en cuyo caso el Encargado del tratamiento de datos informará al Responsable de tratamiento de datos, a menos que dicha ley prohíba al Encargado del tratamiento de datos hacerlo por motivos relevantes de interés público. El Encargado del tratamiento de datos informará al Responsable del tratamiento de datos si cree que una instrucción emitida por dicho Responsable infringe las Leyes de protección de datos.
1.3. Confidencialidad.
El Encargado del tratamiento de datos:
i. mantendrá la confidencialidad de los Datos personales y exigirá a su personal o a cualquier otra persona que actúe bajo su autoridad y que trate Datos personales a estar vinculada por obligaciones de confidencialidad, ya sea en virtud de un acuerdo escrito o una obligación legal de confidencialidad o de otro modo, y proteger todos los Datos personales de acuerdo con los requisitos de este Protocolo y las Leyes de protección de datos; y
ii. solo divulgará Datos personales o permitirá el acceso a los mismos a su personal o cualquier otra persona que actúe bajo su autoridad y que trate Datos personales siempre que necesite usar los Datos personales para el desempeño de sus tareas.
1.4. Asistencia.
El Encargado del tratamiento de datos:
i. teniendo en cuenta la naturaleza del Tratamiento y en la medida de lo posible, implementará medidas técnicas y organizativas para ayudar al Responsable del tratamiento de datos a cumplir con su obligación de responder a:
a. cualquier solicitud de los Interesados que ejerzan sus derechos en virtud de cualquier Ley de protección de datos; y
b. cualquier solicitud por parte de, o comunicación con, una autoridad de control en relación con los Datos personales.
ii. Teniendo en cuenta la naturaleza del Tratamiento y la información disponible para el Encargado del tratamiento de datos, ayudar al Responsable del tratamiento de datos a cumplir con sus obligaciones de implementar medidas técnicas y organizativas de seguridad adecuadas, notificar violaciones de la seguridad de los Datos personales a las autoridades de control y a los Interesados, realizar evaluaciones de impacto de la protección de datos y consultar con las autoridades de control en relación con las evaluaciones de impacto de la protección de datos cuando sea necesario.
iii. Con la finalidad de auditar el cumplimiento por parte del Encargado del tratamiento de datos de sus obligaciones en virtud del presente Protocolo, el Encargado del tratamiento de datos proporcionará al Responsable del tratamiento de datos, previa notificación razonable (con al menos 30 días de antelación): (a) acceso a las instalaciones de tratamiento de información y registros relevantes para los servicios en cuestión; (b) asistencia y cooperación razonables del personal pertinente; y (c) recursos razonables en las instalaciones del Encargado del tratamiento de datos. Además, previa notificación al Encargado del tratamiento de datos, este proporcionará asistencia y apoyo razonables al Responsable del tratamiento de datos en caso de una investigación por parte de cualquier regulador, incluido un regulador de protección de datos, o autoridad similar, en la medida en que dicha investigación esté relacionada con los Datos personales del Responsable del tratamiento de datos tratados por el Encargado del tratamiento de datos. Todas las auditorías correrán por cuenta y riesgo del Responsable del tratamiento de datos, incluido el tiempo del personal del Encargado del tratamiento de datos, y no se realizarán con más frecuencia que una vez cada 12 meses por Responsable del tratamiento de datos en todos los servicios prestados por el Encargado, a menos que se asocie a una violación confirmada que afecte a los Datos personales del Responsable del tratamiento de datos que se considere una excepción a la limitación anual, siempre que: (i) dicha auditoría tenga lugar en un momento mutuamente acordado y la duración de la auditoría se limite a un periodo razonable; (ii) dicha auditoría no interfiera de forma injustificada con las operaciones del Encargado del tratamiento de datos; (iii) cualquier tercero que lleve a cabo dicha auditoría en nombre del Responsable del tratamiento de datos deberá formalizar un acuerdo de confidencialidad con el Encargado del tratamiento de datos en términos razonablemente aceptables para dicho Encargado con respecto al tratamiento confidencial y al uso restringido de la información confidencial del Encargado del tratamiento de datos o de los Encargados del tratamiento de datos de sus terceros y, bajo ninguna circunstancia, se exigirá al Encargado del tratamiento de datos que divulgue información de otros de sus clientes; (iv) el Responsable del tratamiento de datos mantendrá la confidencialidad de la información que se le revele en el transcurso de la auditoría ante todos los terceros, excepto cualquier tercero que participe en la auditoría con el consentimiento del Encargado del tratamiento de datos como se describe a continuación; (v) la auditoría se realizará con sujeción a restricciones de seguridad razonables del Encargado del tratamiento de datos; y (vi) el Responsable del tratamiento de datos reconoce que el Encargado del tratamiento de datos puede requerir que ciertos informes, políticas, registros u otros materiales se revisen presencialmente debido a su naturaleza confidencial y no se permitirá que el auditor del Responsable del tratamiento de datos los copie. Sin perjuicio de lo anterior, ningún tercero puede participar en una auditoría a menos que el Responsable del tratamiento de datos obtenga el consentimiento previo del Encargado del tratamiento de datos (que no se denegará sin motivo razonable) y siempre que el Responsable del tratamiento de datos entienda que el Encargado del tratamiento de datos no dará su consentimiento para la participación de ningún tercero que ofrezca servicios o productos que compitan con los propios del Encargado del tratamiento de datos.
1.5. Tratamiento adicional de datos personales.
El Encargado del tratamiento de datos solo tratará los Datos personales del Responsable del tratamiento de datos obtenidos en el transcurso de la prestación de los servicios: (i) para tratar o mantener los Datos personales en nombre del Responsable del tratamiento de datos y en cumplimiento del Acuerdo; (ii) para nombrar a un subencargado del tratamiento cuando se requiera que dicho subencargado del tratamiento preste los servicios que son objeto del Acuerdo; (iii) para uso interno con el fin de desarrollar y mejorar los servicios de WTW; (iv) para detectar incidentes de seguridad de datos, o proteger contra actividades fraudulentas o ilegales; (v) según sea necesario para cumplir con las leyes aplicables; (vi) para, según las disposiciones de la cláusula 1.8 a continuación, cumplir con una investigación civil, penal o normativa; y (vii) para ejercer o defender reclamaciones legales. El Responsable del tratamiento de datos reconoce que el Encargado del tratamiento de datos puede anonimizar los Datos personales con la finalidad de elaborar informes agregados y mejorar la calidad de los servicios prestados al Responsable del tratamiento de datos.
1.6. Medidas de seguridad.
El Encargado del tratamiento de datos mantendrá un programa de seguridad de la información por escrito que contenga garantías administrativas, técnicas y físicas para proteger los Datos personales contra amenazas o peligros previstos para su seguridad, confidencialidad o integridad y, teniendo en cuenta el estado del desarrollo tecnológico, el coste de implementación y la naturaleza, el contexto del alcance y los fines del Tratamiento, el Encargado del tratamiento de datos implementará las medidas técnicas y organizativas de seguridad y confidencialidad adecuadas (que pueden incluir la seudonimización o anonimización de los Datos personales cuando proceda, teniendo en cuenta la naturaleza del Tratamiento) necesarias para proteger contra el Tratamiento no autorizado o ilícito de los Datos personales y contra la pérdida o destrucción accidental de, o daños a, Datos personales, según sea apropiado para el daño que pueda producirse por el Tratamiento no autorizado o ilícito o por la pérdida accidental, destrucción o daño. Dicho programa de seguridad de la información por escrito no se modificará cuando los cambios reduzcan dicha protección de los Datos personales.
1.7. Incidentes de seguridad.
El Encargado del tratamiento de datos notificará sin demora indebida al Responsable del tratamiento de datos cuando tenga conocimiento de que se ha producido una violación de la seguridad que ha provocado la destrucción, pérdida, modificación, divulgación no autorizada o acceso accidental o ilícito a los Datos personales tratados por el Encargado del tratamiento de datos en el contexto de este Protocolo (“Incidente de seguridad”). Después de proporcionar la notificación, el Encargado del tratamiento de datos investigará el Incidente de seguridad, tomará las medidas necesarias para eliminar o contener el impacto del Incidente de seguridad y mantendrá informado al Responsable del tratamiento de datos del estado del Incidente de seguridad y todos los asuntos relacionados.
1.8. Notificación de solicitudes de acceso o quejas.
El Encargado del tratamiento de datos, en la medida en que lo permita la ley, notificará sin demora al Responsable del tratamiento de datos cualquier solicitud o comunicación de cualquier autoridad competente relacionada con los Datos personales tratados en virtud del presente Acuerdo. El Encargado del tratamiento de datos no atenderá de forma sustancial ninguna solicitud de divulgación de Datos personales antes de recibir la autorización por escrito del Responsable del tratamiento de datos, a menos que se vea obligado a hacerlo por ley, una orden judicial u otro mecanismo legalmente exigible.
1.9. Devolución o eliminación.
El Responsable del tratamiento de datos puede solicitar al Encargado del tratamiento de datos que elimine o devuelva los Datos Personales después de la terminación o vencimiento de este Acuerdo y el Encargado del tratamiento de datos cumplirá con dicha solicitud y confirmará al Responsable del tratamiento de datos que se ha llevado a cabo la eliminación (si corresponde) salvo que se requiera otra cosa en virtud de la ley aplicable, los requisitos de archivo del Encargado del tratamiento de datos (incluidos los requisitos de normas profesionales, la defensa de reclamaciones legales y la revisión de entregables) o con respecto a los medios de copia de seguridad y los Datos personales archivados para los que no es posible la eliminación selectiva de archivos, siempre que el Encargado del tratamiento de datos siga cumpliendo con los términos pactados en este Protocolo con respecto a cualquier Dato personal que conserve y no trate los Datos personales que conserve para ningún otro fin.
1.10. Subencargo del tratamiento.
El Responsable del tratamiento de datos entiende y autoriza por el presente al Encargado del tratamiento de datos a utilizar subencargados del tratamiento para los fines del Acuerdo y según se describe en la Descripción del tratamiento, siempre que el Encargado del tratamiento de datos (i) siga siendo responsable del cumplimiento de sus obligaciones en virtud del presente Protocolo, (ii) contrate a dichos subencargados del tratamiento de acuerdo con las Leyes de protección de datos (cuando sea necesario), y (iii) garantice que celebra acuerdos escritos y legalmente vinculantes con dichos subencargados que contienen obligaciones que son al menos tan restrictivas como las establecidas en este Protocolo. El Encargado del tratamiento de datos estará expresamente autorizado a contratar los subencargados del tratamiento necesarios para prestar los servicios al Responsable del tratamiento de datos y proporcionará una lista de subencargados del tratamiento previa solicitud.
El Encargado del tratamiento de datos podrá cambiar o añadir subencargados del tratamiento de forma ocasional previa notificación por escrito al Responsable del tratamiento de datos, de modo que dicho Responsable pueda expresar una objeción, por motivos razonables y en un plazo de 14 días naturales, a cualquier cambio propuesto.
1.11. Transferencias de datos.
El Responsable del tratamiento de datos confirma que el Encargado del tratamiento de datos puede transferir Datos personales a sus filiales y subencargados del tratamiento de forma global, incluso fuera del Reino Unido y el Espacio Económico Europeo, con la condición de que el Encargado del tratamiento de datos se asegure de que dichas transferencias se realicen de conformidad con las leyes aplicables, incluida la implementación de garantías adecuadas para asegurar que exista un nivel equivalente de protección de los Datos personales y las protecciones contractuales adecuadas según lo exijan las leyes aplicables, la autoridad de control correspondiente o el regulador de protección de datos. Para evitar dudas, el Encargado del tratamiento de datos confirma que cuando, a los efectos de prestar los servicios, transfiere Datos personales a sus filiales o subencargados del tratamiento fuera del Reino Unido o del Espacio Económico Europeo, todas estas transferencias se realizan con sujeción al acuerdo o anexo de transferencia internacional de datos del Reino Unido o a las cláusulas contractuales tipo de la UE, según corresponda.
Anexo 1: Descripción del tratamiento de Datos personales
1. Objeto, naturaleza y finalidad
Todas las actividades de tratamiento (incluida la recogida, la organización y el análisis de Datos personales) que sean razonablemente necesarias para facilitar o apoyar la prestación de los servicios descritos en el Acuerdo.
2. Duración del tratamiento de Datos personales
El Encargado del tratamiento de datos tratará los Datos personales durante el tiempo que preste servicios al Responsable del tratamiento de datos en virtud del Acuerdo y conservará los Datos personales en un archivo después de esa fecha de conformidad con las disposiciones de conservación del Acuerdo (incluido el Protocolo).
3. Categorías de Interesados
Los Interesados pueden incluir a personas nombradas en cualquier póliza o programa con respecto al cual el Encargado del tratamiento de datos sea contratado para prestar sus servicios o personas que sean beneficiarios de, o hayan presentado reclamaciones en virtud de, o estén involucradas de otro modo en, dicha póliza o programa. Lo más común es que los Interesados incluyan: (1) empleados, contratistas u otros trabajadores del Responsable del tratamiento de datos, ya sean anteriores, existentes o futuros, o miembros o beneficiarios de planes de jubilación o retirement de los cuales el Responsable del tratamiento de datos es responsable (“Trabajadores”), o sus familiares, representantes u otras personas relacionadas con los Trabajadores; (2) clientes pasados, existentes o futuros del Cliente, o sus empleados u otras personas relacionadas con ellos, o sus familiares, representantes u otros relacionados con ellos; o (3) reclamantes anteriores, existentes o futuros en relación con cualquier póliza de seguro o sus familiares, representantes u otros relacionados con ellos.
4. Tipos de Datos personales
Los servicios en virtud del Acuerdo pueden implicar el tratamiento de los siguientes tipos de Datos personales:
- nombres e información de contacto;
- información demográfica (como sexo, edad, fecha de nacimiento, estado civil, nacionalidad, historial educativo o laboral, calificaciones académicas o profesionales, detalles de empleo, aficiones, composición familiar y personas a cargo);
- documentación de identificación personal e información relacionada, como números de pasaporte y números de identificación de empleados;
- datos financieros y de pago, como números de cuentas bancarias e información de transacciones;
- información relacionada con la prestación de los servicios, como información de pólizas y reclamaciones, incluida información relacionada con incidentes que den lugar a reclamaciones y pérdidas;
- registros de comunicaciones; y
- datos de recursos humanos, como el cargo y la función laboral; información sobre beneficios y remuneraciones; información sobre dependientes o beneficiarios; información sobre cualificaciones educativas, académicas y profesionales; información de contactos de emergencia e información sobre la gestión del rendimiento.
5. Tipos de categorías especiales de datos a los que se hace referencia en el artículo 9 del Reglamento
Los Datos personales tratados por el Encargado del tratamiento de datos pueden incluir las siguientes categorías especiales de Datos personales: características personales y circunstancias de naturaleza sensible como origen racial o étnico, vida u orientación sexual, salud mental y física, información genética, detalles de lesiones, medicamentos/tratamiento recibido, creencias políticas o religiosas y afiliación sindical.