Este Protocolo de tratamiento de datos personales (el “Protocolo”) explica cómo Willis Towers Watson trata los datos personales en interés de sus clientes, usuarios o licenciatarios (“Cliente”).
Este Protocolo forma parte de cualquier contrato vigente entre Willis Towers Watson y el Cliente que expresamente se refiera a él (el “Contrato”). Cuando este Protocolo utilice términos que se definan en el Reglamento General de Protección de Datos de la Unión Europea (UE) 2016/679 (el “Reglamento”), se aplicarán las definiciones establecidas en dicho Reglamento.
Tratamiento de datos
Con respecto a los datos personales tratados por Willis Towers Watson en nombre del Cliente (ver Sub-Anexo 1), Willis Towers Watson cumplirá con los siguientes requisitos:
Limitaciones en el uso. Willis Towers Watson tratará datos personales solamente para proporcionar el servicio pertinente, y según lo indique el Cliente por escrito en forma periódica, o por otros motivos, según lo exija la normativa.
Confidencialidad. Willis Towers Watson mantendrá la confidencialidad de los datos personales y exigirá que el personal de Willis Towers Watson que trate datos personales los proteja de acuerdo con los requisitos de este Protocolo.
Documento de seguridad de la información. Willis Towers Watson tendrá un documento de seguridad de la información escrito que contenga medidas de seguridad administrativas, técnicas y físicas adecuadas para proteger los datos personales frente a amenazas o peligros previstos para su seguridad, confidencialidad o integridad.
Asistencia
Willis Towers Watson realizará lo siguiente:
- Teniendo en cuenta la naturaleza del tratamiento y siempre que sea posible, implementará medidas técnicas y organizativas para asistir al Cliente en el cumplimiento de su obligación de responder a cualquier solicitud de aquellas personas que ejerzan sus derechos en virtud del Capítulo III del Reglamento;
- Teniendo en cuenta la naturaleza del tratamiento y la información disponible para Willis Towers Watson, este asistirá al Cliente para que cumpla con sus obligaciones de implementación de medidas de seguridad adecuadas, de notificación de violaciones de medidas de protección de la confidencialidad de los datos personales a las autoridades de supervisión y a las personas titulares de los datos, en la realización de evaluaciones de impacto de protección de datos y de consulta a las autoridades de supervisión en relación a las evaluaciones de impacto de protección de datos cuando sea necesario; y
- Pondrá a disposición del Cliente toda la información que este solicite razonablemente, para asistirle en la demostración de que se cumplieron las obligaciones establecidas en el artículo 28 del Reglamento, relacionadas con la elección de encargados del tratamiento y que permiten y contribuyen a las auditorías efectuadas por el Cliente u otro auditor designado por el Cliente.
Willis Towers Watson puede cobrar unos honorarios razonables por toda esta asistencia descrita anteriormente, salvo cuando la misma fuera directamente necesaria como consecuencia de los propios actos u omisiones de Willis Towers Watson, en cuyo caso la asistencia correspondiente será a cargo de Willis Towers Watson. El Cliente enviará a Willis Towers Watson una notificación, con treinta (30) días de anticipación, para cualquier solicitud de auditoría; el Cliente no puede realizar una auditoría que comprometa las obligaciones de confidencialidad de Willis Towers Watson frente a cualquier otro cliente y usuario de Willis Towers Watson y, en el caso en el que el Cliente desee nombrar a otro auditor para realizar la auditoría, se asegurará de que este auditor suscriba un acuerdo de confidencialidad con Willis Towers Watson con las formalidades que razonablemente requiera Willis Towers Watson.
Incidente de seguridad. Willis Towers Watson notificará lo antes razonablemente posible al Cliente siempre que Willis Towers Watson crea razonablemente que hubo una violación de seguridad que pudo dar lugar a la destrucción, pérdida, alteración, divulgación no autorizada, o al acceso accidental o ilegal a datos personales tratados por Willis Towers Watson en el contexto de este Protocolo («Incidente de seguridad«). Tras la notificación, Willis Towers Watson investigará el Incidente de seguridad, tomará las medidas necesarias para eliminar o contener el impacto del Incidente de seguridad y mantendrá al Cliente informado acerca del estado del Incidente de seguridad y todos los asuntos relacionados.
Devolución o puesta a disposición. El Cliente puede solicitar a Willis Towers Watson la eliminación o devolución de datos personales a la finalización del periodo durante el cual Willis Towers Watson tratará los datos personales del Cliente correspondiente, según se especifica en el Sub-Anexo 1.
Sub-encargo
El Cliente entiende que Willis Towers Watson puede valerse de sub-encargados del tratamiento para proveer los servicios en virtud del Contrato. Estos se enumerarán y acordarán en el Contrato con el Cliente, cuando resulte aplicable. Willis Towers Watson continuará siendo responsable frente al Cliente por el cumplimiento de sus obligaciones en virtud de este Protocolo y se asegurará de que sus contratos con los sub-encargados sean al menos tan restrictivos como este Protocolo. Willis Towers Watson puede cambiar o agregar sub-encargados del tratamiento de forma periódica y previa notificación en un tiempo razonable por escrito al Cliente para que este se pueda oponer, con fundamentos razonables, al cambio propuesto.
Datos sujetos a anonimización y seudonimización
El Cliente reconoce que los servicios incluyen la seudonimización y anonimización de datos, con el fin de realizar informes generales y de investigación (tendencias), y acepta que Willis Towers Watson puede tratar datos personales con seudónimos o de forma anónima para sus propios fines comerciales. Asimismo, Willis Towers Watson cumplirá con todas las leyes de protección de datos aplicables con respecto al tratamiento correspondiente.
Transferencias internacionales de datos
El Cliente confirma que Willis Towers Watson puede comunicar datos personales a sus filiales y sub-encargados del tratamiento dentro y fuera del Espacio Económico Europeo (EEE) con fines de asistencia y respaldo en la prestación de los Servicios. Willis Towers Watson confirma que existen medidas para proteger los datos personales comunicados a países fuera del EEE, incluyendo las garantías contractuales adecuadas.
Sub-Anexo 1 – Descripción del tratamiento de datos personales
- Objeto, naturaleza y fin Todas las actividades de tratamiento (inclusive la recopilación, organización y análisis de datos personales) en la medida que sean razonablemente necesarias para facilitar o apoyar la prestación de los servicios descritos en virtud del Contrato.
- Duración del tratamiento de datos personales Willis Towers Watson tratará los datos personales mientras preste los servicios al Cliente y retendrá los datos personales en su archivo después de esa fecha, en la medida que sea necesario para fines legítimos de su actividad.
- Categorías de interesados: Los interesados pueden ser, bien personas físicas incluidas en cualquier póliza o programa con respecto a los cuales Willis Towers Watson se ha comprometido a proporcionar sus servicios y/o bien personas físicas que sean beneficiarias, que efectuaron reclamaciones en virtud de cualquier póliza o programa correspondiente o, que de algún modo han participado en ellas. Con carácter general, las categorías de interesados incluirán: (1) empleados, contratistas u otros trabajadores del Cliente (“Trabajadores”) y/o sus familiares, representantes u otras personas relacionadas con los Trabajadores; (2) exclientes, clientes actuales o potenciales clientes, sus empleados u otras personas conectadas con ellos, y/o sus familiares, representantes u otros relacionados con ellos; y/o (3) exdemandantes o reclamantes, demandantes o reclamantes actuales o potenciales demandantes en relación con cualquier póliza de seguro, y/o sus familiares, representantes u otros relacionados con ellos.
- Categorías de datos personales: Los servicios en virtud del Contrato pueden comprender el tratamiento de los siguientes tipos de datos personales:
- nombres e información de contacto:
- información demográfica (como, por ejemplo, género, edad, fecha de nacimiento, estado civil, nacionalidad, educación/antecedentes laborales, calificaciones académicas/profesionales, detalles de empleo, preferencias de ocio, composición familiar y personas a cargo);
- documentación de identificación personal e información relacionada como números de pasaporte y números de identificación del empleado;
- datos financieros y de pago, tales como números de cuenta bancaria e información de las transacciones;
- información relacionada con el suministro de los servicios, tales como información de la póliza e información de reclamaciones, incluida la información relacionada con incidentes que den lugar a reclamaciones y pérdidas relacionadas
- registros de comunicaciones y material de CCTV; y
- datos de recursos humanos, tales como el cargo y función en el trabajo; beneficios sociales e información de remuneración; información de dependientes/beneficiarios; información educativa, académica y de calificaciones profesionales; información de contacto de emergencia e información de gestión del desempeño.
- Tipos de categorías especiales de datos personales a los que se hace referencia en el artículo 9 del Reglamento: Los datos personales tratados por Willis Towers Watson pueden incluir las siguientes categorías especiales de datos personales: características personales y circunstancias de naturaleza sensible tales como origen racial o étnico, vida sexual, salud mental y física, información genética, detalles de lesiones, medicación/tratamiento recibidos, creencias políticas o religiosas, afiliación sindical, y antecedentes penales, multas y otros registros judiciales similares.