Versão 2
O presente Protocolo de Tratamento de Dados (“Protocolo”) faz parte de qualquer acordo em vigor, entre a Willis Towers Watson e o Cliente, que expressamente o menciona (o "Contrato").
Sempre que o presente Protocolo utilizar termos, os quais se encontram definidos no Regulamento Geral de Proteção de Dados da UE (Regulamento (UE) 2016/679), transposto para a lei nacional, aplicar-se-ão as definições nele incluídas.
“Leis de Proteção de Dados” terá o significado de todas as leis e regulamentos relevantes referentes a segurança, confidencialidade, proteção ou privacidade de Dados Pessoais, com as suas eventuais alterações, sendo aplicáveis aos serviços prestados no âmbito do Contrato. Em caso de inconsistência entre os termos do presente Protocolo e os termos do Contrato, prevalecerão os termos daquele.
Cliente, ("Responsável pelo tratamento"), declara e garante que os Dados Pessoais foram recolhidos de acordo com as Leis de Protecção de Dados aplicáveis e que tem poderes para fornecer tais Dados Pessoais à Willis Towers Watson ("Processador de Dados") para os fins do Contrato e para a prestação dos serviços, incluindo o estabelecido na descrição do tratamento no Anexo 1 ("Descrição do Tratamento"). O cliente deverá cumprir as suas obrigações como Responsável pelo Tratamento de Dados, de acordo com a lei vigente.
Tratamento de dados
Relativamente aos Dados Pessoais tratados pelo Subcontratante em nome do Responsável pelo Tratamento de Dados:
1.1. Cumprimento das leis.
Ambas as partes cumprirão as Leis de Proteção de Dados e não farão conscientemente com que a outra viole intencionalmente as Leis de Proteção de Dados.
1.2. Limitações de utilização.
O Subcontratante tratará os Dados Pessoais apenas para os fins descritos no Contrato, incluindo o disposto na cláusula 1.5 infra e a descrição do tratamento conforme acordado mutuamente por escrito, entre o Responsável pelo Tratamento de Dados e o Subcontratante, salvo disposição legal em contrário que o determine, caso em que o Subcontratante informará o Responsável pelo Tratamento de Dados, sempre que a lei não o proíba por motivos relevantes de interesse público. O Subcontratante deve informar o Responsável pelo Tratamento de Dados sempre que houver a convicção de que uma sua instrução infringe a legislação relativa à Proteção de Dados.
1.3. Confidencialidade.
O Subcontratante irá:
i. manter a confidencialidade dos Dados Pessoais e exigir que os seus colaboradores ou qualquer outra pessoa que atue sob a sua responsabilidade no tratamento de Dados Pessoais, cumpra o mesmo dever de confidencialidade, quer ao abrigo de um acordo escrito ou de uma obrigação estatutária adequada de confidencialidade ou de outra forma, e proteja todos os Dados Pessoais de acordo com os requisitos do presente Protocolo e das Leis de Proteção de Dados; e
ii. apenas divulgar Dados Pessoais ou permitir o acesso pelos seus colaboradores ou a qualquer outra pessoa que atue sob a sua responsabilidade no tratamento de Dados Pessoais, cuja utilização destes seja necessária para o desempenho das suas tarefas.
1.4. Apoio.
O Subcontratante irá:
i. Considerando a natureza do Tratamento e tanto quanto possível, implementar medidas técnicas e organizativas para apoiar o Responsável pelo Tratamento de Dados no cumprimento da sua obrigação de responder:
a. a quaisquer pedidos dos Titulares de Dados que exerçam os seus direitos ao abrigo da legislação sobre Proteção de Dados; e
b. a qualquer pedido ou comunicação de uma autoridade de supervisão em relação aos Dados Pessoais;
ii. Considerando a natureza do Tratamento e a informação disponível ao Subcontratante, apoiar o Responsável pelo Tratamento de Dados no cumprimento das suas obrigações de implementação de medidas de segurança técnicas e organizacionais adequadas, para notificar Violações de Dados Pessoais a autoridades de supervisão e a Titulares de Dados, para a realização de avaliações do impacto da proteção de dados e consulta por aquelas autoridades, no que diz respeito às referidas avaliações, quando exigido.
iii. Para fins de auditoria do cumprimento por parte do Subcontratante das suas obrigações ao abrigo do presente Protocolo, o Subcontratante deve fornecer ao Responsável pelo Tratamento de Dados, mediante aviso prévio razoável (pelo menos 30 dias): (a) acesso às instalações de tratamento de informações e registos relevantes para os serviços em causa; (b) assistência razoável e cooperação dos colaboradores relevante; e (c) condições razoáveis nas instalações do Subcontratante.
Além disso, mediante notificação ao Subcontratante, este prestará assistência e apoio razoáveis ao Responsável pelo Tratamento de Dados no caso de uma investigação por qualquer entidade de supervisão, incluindo a Comissão Nacional de Proteção de Dados (CNPD) , ou autoridade semelhante, se e na medida em que tal investigação se relacione com os Dados Pessoais do próprio Responsável tratados pelo Subcontratante.
Quaisquer auditorias serão efetuadas sob a total responsabilidade e encargos do Responsável pelo Tratamento de Dados, incluindo os encargos relativos à disponibilização de qualquer colaborador do Subcontratante e terão uma frequência máxima de uma vez em cada 12 meses, relativamente a todos os serviços prestados pelo Subcontratante, salvo se a auditoria for determinada por uma violação que afete os Dados Pessoais do Responsável pelo Tratamento de Dados. Neste caso, poderá ocorrer uma exceção à regra atrás estabelecida, desde que: (i) essa auditoria ocorra num momento acordado entre as partes e a sua duração seja limitada a um período razoável; (ii) tal auditoria não interferira injustificadamente com as operações do Subcontratante; (iii) qualquer terceiro que realize tal auditoria em nome do Responsável pelo Tratamento de Dados deve assinar um acordo de confidencialidade com o Subcontratante de Dados que garanta o tratamento confidencial e com utilização restrita das informações do Subcontratante ou dos seus Subcontratantes, não podendo ser a este exigível a divulgação de informações de outros seus clientes ; (iv) O Responsável pelo Tratamento de Dados deve manter a confidencialidade da informação que lhe é transmitida no âmbito da auditoria salvo se for indispensável a participação de terceiros na respetiva auditoria, mediante consentimento do Subcontratante, conforme descrito abaixo; (v) a auditoria deve ser realizada sujeita a restrições de segurança razoáveis do Subcontratante; e (vi) o Responsável pelo Tratamento de Dados reconhece que o Subcontratante de Dados pode exigir que determinados registos, políticas, relatórios ou outros materiais sejam revistos no local devido à sua natureza confidencial e que o auditor do Responsável pelo Tratamento de Dados não terá permissão para os copiar. Não obstante o acima exposto, nenhum terceiro pode participar numa auditoria, a menos que o Responsável pelo Tratamento de Dados obtenha o consentimento prévio do Subcontratante (o qual não deverá ser negado de forma injustificada) e desde que o Responsável pelo Tratamento de Dados compreenda que o Subcontratante não consentirá a participação de qualquer terceiro que ofereça serviços ou produtos que concorram com os do próprio Subcontratante.
1.5. Tratamento adicional de Dados Pessoais.
O Subcontratante apenas Tratará os Dados Pessoais do Responsável pelo Tratamento de Dados obtidos no decurso da prestação dos serviços: (i) para tratar ou manter Dados Pessoais em nome do Responsável pelo Tratamento de Dados e em conformidade com o Contrato; (ii) para nomear um subcontratante, sempre que o mesmo preste serviços no âmbito do objeto do Contrato; (iii) para uso interno para desenvolver e melhorar os serviços da WTW; (iv) para detetar incidentes de segurança de dados, ou proteger contra atividades fraudulentas ou ilegais; (v) conforme necessário para cumprir as leis aplicáveis; (vi) para cumprimento do disposto na cláusula 1.8 abaixo, ou seja, inquérito civil, criminal ou regulatório; e (vii) para intentar ou contestar ações judiciais. O Responsável pelo Tratamento de Dados reconhece que o Subcontratante pode anonimizar os Dados Pessoais para fins de comunicação agregada e melhoria da qualidade dos serviços prestados ao Responsável pelo Tratamento de Dados.
1.6. Medidas de segurança.
O Subcontratante manterá um programa escrito de segurança da informação que contenha informações administrativas adequadas, salvaguardas técnicas e físicas para proteger os Dados Pessoais contra ameaças ou perigos previstos para a sua segurança, confidencialidade ou integridade.
No que diz respeito ao estado do desenvolvimento tecnológico, ao seu custo de implementação e natureza, tendo em conta o âmbito e finalidades do Tratamento, o Subcontratante implementará medidas técnicas e organizativas adequadas de segurança e confidencialidade (que podem incluir a pseudonimização e/ou anonimização de Dados Pessoais, sempre que se justifique) para proteger contra o Tratamento não autorizado ou ilícito de Dados Pessoais e contra a perda ou destruição acidental de/ou danos a Dados Pessoais, adequadas a danos que possam resultar do Tratamento não autorizado ou ilícito ou da perda acidental, destruição ou danos. Este programa de segurança da informação escrito não será alterado, sempre que tais alterações determinem uma diminuição de proteção de Dados Pessoais.
1.7. Incidente relacionado com a Segurança.
O Subcontratante notificará, sem demora injustificada, o Responsável pelo Tratamento de Dados sempre que tomar conhecimento de uma violação de segurança que levou à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais Tratados pelo Subcontratante no contexto do presente Protocolo (“Incidente de Segurança”). Após efetuar a notificação, o Subcontratante investigará o Incidente relacionado com a Segurança, tomará as medidas necessárias para eliminar ou conter o impacto do mesmo e manterá o Responsável pelo Tratamento de Dados a par do seu estado e de todas as questões relacionadas com ele.
1.8. Notificação de pedidos de acesso ou reclamações.
O Subcontratante irá, na medida do legalmente permitido, notificar imediatamente o Responsável pelo Tratamento de Dados de qualquer pedido ou comunicação de qualquer autoridade relacionada com Dados Pessoais tratados nos termos do presente Contrato. O Subcontratante não cumprirá qualquer pedido de divulgação de Dados Pessoais antes de receber autorização por escrito do Responsável pelo Tratamento de Dados, a menos que seja obrigado a fazê-lo por lei, ordem judicial ou outro mecanismo legalmente aplicável.
1.9. Devolução ou eliminação.
O Responsável pelo Tratamento de Dados poderá instruir o Subcontratante a eliminar ou devolver os Dados Pessoais após a denúncia ou termo deste Contrato e o Subcontratante cumprirá essa instrução, confirmando ao Responsável pelo Tratamento de Dados a eliminação dos dados (se aplicável), salvo se exigido de outra forma pela lei aplicável, requisitos de arquivo do Subcontratante (incluindo requisitos de normas profissionais, defesa de ações judiciais e fundamentação do trabalho desenvolvido) ou no que diz respeito a suportes de cópias de segurança e Dados Pessoais arquivados, para os quais não é viável a eliminação seletiva de ficheiros, desde que o Subcontratante continue sempre a cumprir os termos relevantes do presente Protocolo em relação a quaisquer Dados Pessoais retidos e não trate os Dados Pessoais retidos para qualquer outra finalidade.
1.10. Subcontratante ulterior.
O Responsável pelo Tratamento de Dados compreende e autoriza pelo presente o Subcontratante a utilizar subcontratantes para os fins do Contrato e conforme definido na Descrição do Tratamento, desde que o Subcontratante (i) permaneça responsável pelo cumprimento das suas obrigações ao abrigo do presente Protocolo, (ii) contrate esses subcontratantes de acordo com as Leis de Proteção de Dados (quando necessário), e (iii) garanta que celebra acordos escritos, juridicamente válidos com os referidos subcontratantes que contenham obrigações que sejam, pelo menos, tão restritivas como as estabelecidas no presente Protocolo. O Subcontratante deve ser expressamente autorizado a utilizar os subcontratantes necessários para prestar os serviços ao Responsável pelo Tratamento de Dados e deve fornecer uma lista de subcontratantes mediante solicitação.
O Subcontratante pode alterar ou adicionar subcontratantes, sempre que necessário, mediante aviso prévio escrito ao Responsável pelo Tratamento de Dados, para que este possa expressar uma objeção a qualquer proposta, com fundamentos razoáveis e no prazo de 14 dias úteis.
1.11. Transferência de Dados.
O Responsável pelo Tratamento de Dados confirma que o Subcontratante pode transferir Dados Pessoais para as suas afiliadas e subcontratantes a nível global, incluindo fora do Espaço Económico Europeu, na condição de que o Subcontratante garanta que tais transferências são realizadas em conformidade com as leis aplicáveis, incluindo a implementação de salvaguardas adequadas para garantir um nível equivalente de proteção de Dados Pessoais e outras proteções contratuais conforme exigido pelas leis aplicáveis, autoridades de supervisão ou a CNPD. Para que não subsistam dúvidas, o Subcontratante confirma que, quando, para efeitos de prestação dos serviços, transfere Dados Pessoais para as suas afiliadas ou subcontratantes fora do Espaço Económico Europeu, todas essas transferências são efetuadas de acordo com as cláusulas contratuais-tipo da UE, conforme apropriado.
Anexo 1: Descrição do tratamento de dados pessoais
1. Objeto, natureza e finalidade
Todas as atividades de processamento (incluindo a recolha, organização e análise de dados pessoais), razoavelmente exigidas, destinam-se a facilitar ou dar apoio à prestação dos serviços descritos neste Contrato.
2. Duração do tratamento de dados pessoais
O Subcontratante tratará os dados pessoais enquanto prestar serviços ao Responsável pelo Tratamento de Dados ao abrigo do Contrato e manterá os dados pessoais em arquivo após essa data, em conformidade com as disposições de retenção do Contrato (incluindo o Protocolo).
3. Categorias de titulares de dados:
Os titulares de dados podem incluir indivíduos referidos em qualquer política ou regime, com os quais o Subcontratante se tenha comprometido a prestar os seus serviços, e/ou indivíduos beneficiários, que efetuaram reclamações ou que, de alguma forma, estão envolvidos nessa mesma política ou regime. Mais comummente, os titulares de dados incluirão: (1) funcionários antigos, atuais ou futuros, contratantes ou outros trabalhadores do Responsável pelo Tratamento de Dados ou membros ou beneficiários de planos de reforma ou fundo de pensões pelos quais o Responsável pelo Tratamento de Dados é responsável ("Colaboradores") e/ou os respetivos membros da família, representantes ou outros relacionados com os Colaboradores; (2) os clientes antigos, atuais e potenciais do Cliente e/ou os respetivos funcionários ou outros indivíduos relacionados com eles e/ou os respetivos membros das suas famílias, representantes ou outros relacionados com eles; e/ou (3) reclamantes ou requerentes antigos, atuais ou futuros, relacionados com qualquer apólice de seguro e/ou os respetivos membros das suas famílias, representantes ou outros relacionados com eles.
4. Tipos de dados pessoais:
Os serviços previstos no Contrato podem dizer respeito ao processamento dos seguintes tipos de dados pessoais:
- nomes e informações de contacto;
- informação demográfica (como sexo, idade, data de nascimento, estado civil, nacionalidade, educação/histórico profissional (empregado ou desempregado), habilitações académicas/profissionais, pormenores de emprego, passatempos, agregado familiar e dependentes);
- documentação pessoal de identificação e informação relacionada, como números de passaporte e números de identificação de funcionário;
- dados financeiros e de pagamento, como números de contas bancárias e informação sobre transações;
- informação relacionada com a prestação dos serviços, como a política de informação e reivindicações, incluindo a relacionada com incidentes que deram lugar a pedidos de indemnização e perdas relacionadas;
- registos de comunicações; e
- dados de recursos humanos, como cargo e funções; benefícios e informação sobre remunerações; informações sobre os dependentes/beneficiários; informação sobre qualificações académicas e profissionais; informação de contactos de emergência; e gestão da informação sobre desempenho.
5. Tipos de categorias especiais de dados referidos no Artigo 9 do Regulamento:
Os dados pessoais processados pelo Subcontratante podem incluir as seguintes categorias especiais de dados pessoais: características pessoais e circunstâncias de natureza sensível, como raça ou origem étnica, vida sexual ou orientação sexual, saúde mental e física, informação genética, detalhes de lesões, medicação/tratamento recebido, crenças políticas ou religiosas e filiação sindical.