Versionee 1
Il presente Protocollo sul trattamento dei dati personali (il “Protocollo”) illustra le modalità adottate da Willis Towers Watson ai fini della gestione dei dati personali per conto dei propri clienti, acquirenti o licenziatari (“Cliente”).
Il Protocollo è parte integrante di qualsiasi accordo in essere tra Willis Towers Watson e il Cliente che ad esso faccia espressamente riferimento (l’“Accordo”). Laddove il presente Protocollo utilizza termini definiti nel Regolamento generale sulla protezione dei dati personali (Regolamento UE 2016/679) (il “Regolamento”), si applicheranno le medesime definizioni di cui al suddetto Regolamento.
Trattamento dei dati personali
In relazione ai dati personali trattati da Willis Towers Watson per conto del Cliente (cfr. Allegato 1), Willis Towers Watson adempierà ai seguenti requisiti:
Limitazioni d’uso. Willis Towers Watson tratterà i dati personali esclusivamente ai fini dell’erogazione del servizio pertinente, secondo le istruzioni scritte del Cliente o altrimenti come previsto dalla legge.
Riservatezza. Willis Towers Watson tratterà i dati personali in via riservata e richiederà al personale di Willis Towers Watson nominato responsabile del trattamento dei dati personali, di tutelare tutti i dati personali del Cliente in conformità ai requisiti del presente Protocollo.
Programma per la sicurezza delle informazioni. Willis Towers Watson adotterà un programma di sicurezza delle informazioni scritte, che preveda adeguate misure amministrative, tecniche e fisiche per proteggere i dati personali da minacce o rischi alla loro sicurezza, riservatezza o integrità.
Assistenza. Willis Towers Watson si impegna ad assicurare quanto segue:
i. Attuare misure tecniche ed organizzative volte a fornire assistenza al Cliente nell'adempimento dell'obbligo di rispondere a qualsiasi richiesta da parte di soggetti che esercitano i loro diritti ai sensi del Capitolo III del Regolamento, tenendo conto della natura del trattamento e per quanto sia possibile;
ii. Fornire assistenza al Cliente nell'adempimento dei propri obblighi di predisporre misure di sicurezza appropriate, notificare eventuali violazioni dei dati personali alle Autorità di Vigilanza e ai singoli individui e condurre valutazioni di impatto sulla protezione dei dati, nonché confrontarsi con le Autorità di Vigilanza in relazione alle medesime valutazioni, ove necessario, tenendo conto della natura del trattamento e delle informazioni disponibili a Willis Towers Watson; e
iii. Mettere a disposizione del Cliente tutte le informazioni che il Cliente dovesse ragionevolmente richiedere, per fornire assistenza allo stesso, affinché questi possa dimostrare il pieno rispetto degli obblighi sanciti nell'articolo 28 del Regolamento in relazione alla nomina dei responsabili del trattamento dei dati personali, consentendo e rendendosi disponibile per le verifiche condotte dal Cliente, o da altro revisore incaricato da Cliente.
Willis Towers Watson potrà addebitare una tariffa ragionevole per l’assistenza sopra descritta, salvo il caso in cui l’assistenza sia stata richiesta direttamente a seguito di azioni od omissioni di Willis Towers Watson. Il Cliente dovrà fornire a Willis Towers Watson un preavviso di trenta (30) giorni per qualsiasi richiesta di verifica; non potrà condurre alcuna revisione che possa compromettere gli obblighi di riservatezza nei confronti di altri clienti di Willis Towers Watson e, se intende nominare un altro revisore ai fini della conduzione della verifica, garantirà che il revisore sottoscriva previamente un accordo di riservatezza con Willis Towers Watson nella forma che Willis Towers Watson possa ragionevolmente richiedere.
Incidenti di sicurezza. Willis Towers Watson informerà senza indugio il Cliente ogniqualvolta ritenga ragionevolmente che vi sia stata una violazione della sicurezza che porti alla distruzione accidentale o illecita, alla perdita, alterazione, divulgazione o accesso non autorizzato, ai dati personali elaborati da Willis Towers Watson nel contesto del presente protocollo (“Incidente di sicurezza”). Dopo averne dato notifica, Willis Towers Watson indagherà sull’incidente di sicurezza, adottando le misure necessarie per eliminare o contenere l’impatto dell’incidente e mantenere il Cliente informato sullo stato dello stesso e su tutti gli aspetti ad esso relativi.
Restituzione o smaltimento. Il Cliente potrà richiedere a Willis Towers Watson di eliminare o restituire i dati personali, al termine del periodo valido per il trattamento dei dati personali del Cliente da parte di Willis Towers Watson, come specificato nell’Allegato 1.
Trattamento in subappalto
Il Cliente riconosce che Willis Towers Watson avrà il diritto di avvalersi del supporto di sub-appaltatori nella prestazione dei servizi previsti dal Contratto. Tali servizi saranno elencati e concordati nell’accordo specifico che il Cliente stipulerà con Willis Towers Watson, ove applicabile. Willis Towers Watson resterà il principale responsabile per l’adempimento delle obbligazioni previste dal presente Protocollo, garantendo che i gli accordi sottoscritti con tali sub-appaltatori, siano, come minimo, altrettanto restrittivi del presente Protocollo. Willis Towers Watson potrà sostituire o aggiungere di volta in volta contraenti in sub-appalto, dando ragionevole preavviso scritto al Cliente, affinché lo stesso possa eventualmente ragionevolmente contestare la modifica.
Dati anonimizzati e pseudonimizzati
Il Cliente riconosce che i servizi includono la pseudonimizzazione e l’anonimizzazione dei dati per finalità di reportistica aggregata e ricerche (tendenze) e accetta che Willis Towers Watson possa utilizzare dati pseudonimizzati e resi anonimi per finalità commerciali; da parte sua Willis Towers Watson si impegna a rispettare, in relazione al trattamento in questione, tutte le normative applicabili in materia di protezione dei dati personali.
Dati
Il Cliente conferma che Willis Towers Watson potrà trasferire i dati personali alle sue affiliate e ai contraenti in sub-appalto, sia all’interno che all’esterno dello Spazio Economico Europeo (SEE) per attività di assistenza e back-up. Willis Towers Watson ha adottato opportune precauzioni atte a proteggere i dati personali trasferiti in paesi al di fuori dello SEE, ivi comprese opportune misure di protezione contrattuali.
Allegato 1 - Descrizione del trattamento dei dati personali
1. Oggetto, natura e finalità
Tutte le attività di trattamento (compresa la raccolta, l'organizzazione e l'analisi dei dati personali) che siano ragionevolmente necessarie al fine di facilitare o contribuire all'erogazione dei servizi descritti nell'Accordo.
2. Durata del trattamento dei dati personali
Willis Towers Watson tratterà i dati personali per tutto il tempo in cui fornisce servizi al Cliente e conserverà in archivio i dati personali dopo tale data nella misura necessaria a perseguire legittime finalità commerciali.
3.Categorie di soggetti:
I titolari dei dati personali possono includere le persone nominate in qualsiasi polizza o programma assicurativo in ordine al quale Willis Towers Watson è incaricata a prestare i propri servizi, e/o i beneficiari di tali polizze o programmi, o persone che hanno presentato richieste di risarcimento o che sono altrimenti coinvolte nelle predette polizze o programmi assicurativi. Più in generale, i titolari dei dati personali includeranno: (1) dipendenti, contraenti o altri collaboratori del Cliente ("Lavoratori") e/o i loro familiari, rappresentanti o persone correlate ai Lavoratori; (2) i clienti passati, attuali o potenziali del Cliente, e/o i loro dipendenti o persone a questi correlate, e/o i loro familiari, rappresentanti o persone a questi correlate; e/o (3) i soggetti passati, attuali o potenziali che abbiano proposto reclamo/denuncia di sinistro in ordine a qualsiasi polizza assicurativa, e/o i loro familiari, rappresentanti o persone a questi correlate.
4. Categorie di dati personali:
I servizi previsti dal Contratto possono comportare il trattamento delle seguenti categorie di dati personali: nomi e informazioni di contatto;
- informazioni demografiche (sesso, età, data di nascita, stato civile, nazionalità, studi compiuti/esperienze di lavoro, qualifiche accademiche/professionali, dettagli sull'occupazione, interessi, composizione del nucleo familiare e persone a carico);
- documentazione di identificazione personale e informazioni ad essa correlate, tra cui numeri di passaporto e numeri di identificazione dei dipendenti;
- informazioni finanziarie ed estremi di pagamento, tra cui come numeri di conti bancari e informazioni sulle transazioni;
- informazioni relative alla fornitura dei servizi, quali informazioni sulle polizze e informazioni sulle richieste di risarcimento, comprese le informazioni relative agli incidenti che danno origine ai sinistri e le relative perdite;
- registrazioni di comunicazioni e filmati video a circuito chiuso; e
- dati sulle risorse umane, tra cui qualifica e ruolo; informazioni su indennità e retribuzione; informazioni su persone a carico/beneficiari; informazioni sulle qualifiche scolastiche, accademiche e professionali; informazioni di contatto per emergenze; e informazioni sulla gestione delle prestazioni.
5. Categorie speciali di dati personali indicati nell'Art. 9 del Regolamento:
I dati personali trattati da Willis Towers Watson possono includere le seguenti categorie speciali di dati personali: caratteristiche e circostanze personali di natura sensibile, quali razza o etnia, vita sessuale, salute mentale e fisica, informazioni genetiche, dettagli su infortuni, terapie/trattamenti ricevuti, credenze politiche o religiose, iscrizione a sindacati e certificati penali, sanzioni ricevute e documenti giudiziari di simile natura.
