Ir para o conteúdo principal
O que podemos ajudar você a encontrar?
main content, press tab to continue

Protocolo para o Tratamento de Dados - Brasil

Versão 2

Este Protocolo de Processamento de Dados (o "Protocolo") explica como a Willis Towers Watson lida com dados pessoais de pessoas que residem no Brasil em nome de seus clientes, clientes ou licenciados ("Cliente").

O Protocolo faz parte de qualquer contrato em vigor entre a Willis Towers Watson e o Cliente que expressamente se refira ou se vincule a ele (o "Contrato"). Nos casos em que este Protocolo utiliza termos definidos na Lei Geral de Proteção de Dados (Lei nº.  13.709 de 2018 conforme alterada, incluindo seus regulamentos de implementação - "LGPD") então as definições estabelecidas na LGPD serão aplicadas.

Os dados tratados nos termos deste Protocolo devem estar de acordo com a LGPD garantindo os direitos do titular dos dados. A Willis Towers Watson estabeleceu uma cultura de privacidade e proteção de dados que sustenta suas atividades de processamento de dados, o que promove a melhoria constante da transparência, clareza e precisão com nossos clientes, funcionários, parceiros e todos os titulares de dados.

Processamento de dados

Com relação aos dados pessoais processados pela Willis Towers Watson em nome do Cliente (consulte o Anexo 1), a Willis Towers Watson cumprirá os seguintes requisitos:

Limitações de uso. A Willis Towers Watson processará dados pessoais apenas para fornecer o serviço relevante, conforme instruído por escrito pelo Cliente de tempos em tempos, ou conforme exigido por lei.

Confidencialidade. A Willis Towers Watson manterá os dados pessoais em sigilo e exigirá que o pessoal da Willis Towers Watson processe os dados pessoais para proteger todos os dados pessoais de acordo com os requisitos deste Protocolo.

Programa de Segurança da Informação. A Willis Towers Watson manterá um programa de segurança da informação por escrito que contém salvaguardas administrativas, técnicas e físicas apropriadas para proteger os dados pessoais contra ameaças ou riscos previstos à sua segurança, confidencialidade ou integridade.

Assistência. A Willis Towers Watson irá:

  1. Levando em consideração a natureza do processamento e, na medida do possível, implementar medidas técnicas e organizacionais para ajudar o Cliente a cumprir sua obrigação de responder a quaisquer solicitações de indivíduos que exerçam seus direitos nos termos do Artigo 18 da LGPD;
  2. Levando em consideração a natureza do processamento e as informações disponíveis para a Willis Towers Watson, ajudar o Cliente a cumprir as obrigações do Cliente de implementar medidas de segurança apropriadas, notificar violações de dados pessoais às autoridades supervisoras e aos indivíduos e realizar avaliações de impacto à proteção de dados e consultar as autoridades supervisoras em relação às avaliações de impacto à proteção de dados, quando necessário; e
  3. Disponibilizar ao Cliente todas as informações que o Cliente razoavelmente solicitar para ajudá-lo a demonstrar que as obrigações estabelecidas no Capítulo VI do Regulamento relativas à nomeação de processadores foram cumpridas e permitir e contribuir para auditorias conduzidas pelo Cliente ou outro auditor nomeado pelo Cliente.

A Willis Towers Watson pode cobrar uma taxa razoável por toda a assistência descrita acima, exceto quando a assistência for necessária diretamente como resultado de atos ou omissões da Willis Towers Watson, caso em que tal assistência será às custas da Willis Towers Watson. O Cliente deverá fornecer à Willis Towers Watson um aviso prévio de 30 (trinta) dias sobre qualquer solicitação de auditoria; não pode se envolver em uma auditoria que comprometa as obrigações de confidencialidade para com quaisquer outros clientes e clientes da Willis Towers Watson e, se desejar nomear outro auditor para realizar a auditoria, deve garantir que o auditor celebre um acordo de confidencialidade com a Willis Towers Watson na forma que a Willis Towers Watson razoavelmente exigir.

Incidente de segurança. A Willis Towers Watson notificará, no prazo de 72 (setenta e duas) horas, o Cliente sempre que a Willis Towers Watson tiver motivos razoáveis para acreditar que houve uma violação de segurança que levou à destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilegal a dados pessoais processados pela Willis Towers Watson no contexto deste Protocolo ("Incidente de Segurança"). Após a notificação, a Willis Towers Watson investigará o Incidente de Segurança, tomará as medidas necessárias para eliminar ou conter o impacto do Incidente de Segurança e manterá o Cliente informado sobre o status do Incidente de Segurança e todos os assuntos relacionados.

Devolução ou descarte. O Cliente pode instruir a Willis Towers Watson a excluir ou devolver dados pessoais no final do período durante o qual a Willis Towers Watson processará esses dados pessoais do Cliente, conforme especificado no Anexo 1.

Responsabilidade pela privacidade e proteção de dados. O artigo 42 da LGPD estabelece que a responsabilidade por qualquer violação ou dano de dados por um processador de dados é de responsabilidade conjunta do controlador de dados e do processador de dados.

A Willis Towers Watson e o Cliente, sob responsabilidade solidária, serão responsáveis por qualquer violação da LGPD pelo processador de dados.

Subprocessamento

O Cliente entende que a Willis Towers Watson pode usar subprocessadores para fornecer os serviços nos termos do Contrato. Eles serão listados e acordados no Contrato específico que o Cliente celebrou com a Willis Towers Watson, se aplicável. A Willis Towers Watson permanecerá a principal responsável pelo desempenho de suas obrigações sob este Protocolo e garantirá que seus acordos com esses subprocessadores sejam pelo menos tão restritivos quanto este Protocolo. Willis Towers Watson garantiremos que todos os subprocessadores, incluindo aqueles localizados fora do Brasil, tenham padrões adequados de proteção de dados para permitir, quando necessário, transferências internacionais de dados apropriadas. A Willis Towers Watson pode alterar ou adicionar subprocessadores de tempos em tempos, mediante notificação razoável por escrito ao Cliente, para que o Cliente possa expressar uma objeção, por motivos razoáveis, à alteração proposta.

Dados anônimos e pseudonimizados

O Cliente reconhece que os serviços incluem pseudonimização e anonimização para fins de relatórios agregados e pesquisa (de tendências), e concorda que a Willis Towers Watson pode usar dados pseudonimizados e anonimizados para seus próprios fins comerciais, e a Willis Towers Watson cumprirá todas as leis de proteção de dados aplicáveis em relação a tal processamento.

Transferências de dados

Na medida em que a execução do Contrato envolva transferência internacional de dados pessoais para fora do Brasil entre as Partes, as Partes celebram as Cláusulas Contratuais Padrão aprovadas pela Autoridade Nacional de Proteção de Dados ("ANPD"), com efeito a partir do início da transferência de dados relevante, conforme estabelecido no Anexo 2.

O Cliente confirma que a Willis Towers Watson pode transferir dados pessoais para suas afiliadas e subprocessadores dentro e fora do Brasil para fins de suporte e backup. A Willis Towers Watson estabeleceu salvaguardas para proteger os dados pessoais transferidos para países fora do Brasil, incluindo proteções contratuais apropriadas de acordo com pelo menos os requisitos e padrões mínimos de acordo com a LGPD, como as cláusulas contratuais padrão brasileiras aprovadas pela Autoridade Nacional de Proteção de Dados. Os dados pessoais devem ser tratados de forma confidencial conforme necessário e devem ser transferidos por meios tecnicamente seguros.

Consentimento

A Willis Towers Watson e o Cliente reconhecem que qualquer tratamento de dados pela Willis Towers Watson será feito sob a base legal do consentimento, que deve ser uma cláusula específica e destacada em um contrato entre o titular dos dados e o controlador de dados que confirme o acordo do titular dos dados. O consentimento deve ser dado livremente, bem informado e inequívoco, e diretamente vinculado a uma finalidade determinada para o tratamento dos dados, que também deve ser indicada em tal cláusula contratual. Além disso, esta cláusula deve informar o titular dos dados sobre seu direito legal de revogação do consentimento.

Anexo 1 - Descrição do tratamento de dados pessoais

  1. Objeto, natureza e finalidade
    Todas as atividades de processamento (incluindo a coleta, organização e análise de dados pessoais) que sejam razoavelmente necessárias para facilitar ou apoiar a prestação dos serviços descritos no Contrato.
  2. Duração do tratamento dos dados pessoais
    A Willis Towers Watson processará os dados pessoais enquanto prestar serviços ao Cliente e manterá os dados pessoais em arquivo após essa data na medida necessária para fins comerciais legítimos. A Willis Towers Watson garante que a retenção de dados, que deve ter um período de retenção estabelecido, esteja em conformidade com sua finalidade legítima.
  3. Categorias de indivíduos:
    Os titulares dos dados podem incluir indivíduos nomeados em qualquer apólice ou esquema em relação ao qual a Willis Towers Watson esteja contratada para fornecer seus serviços e/ou indivíduos que sejam beneficiários ou tenham feito reivindicações ou estejam de outra forma envolvidos em qualquer apólice ou esquema. Mais comumente, os titulares dos dados incluirão: (1) funcionários, contratados ou outros trabalhadores do Cliente ("Trabalhadores") e/ou seus familiares, representantes ou outros ligados aos Trabalhadores; (2) clientes passados, existentes ou potenciais do Cliente e/ou seus funcionários ou outros indivíduos ligados a eles e/ou seus familiares, representantes ou outros ligados a eles; e/ou (3) reclamantes ou reclamantes passados, existentes ou potenciais em conexão com qualquer apólice de seguro e/ou seus familiares, representantes ou outros ligados a eles.
  4. Tipos de dados pessoais:
    Os serviços previstos no Contrato podem envolver o processamento dos seguintes tipos de dados pessoais:
    • nomes e informações de contato;
    • informações demográficas (como sexo, idade, data de nascimento, estado civil, nacionalidade, histórico de educação/trabalho, qualificações acadêmicas/profissionais, detalhes de emprego, hobbies, composição familiar e dependentes);
    • documentação de identificação pessoal e informações relacionadas, como números de passaporte e números de identificação de funcionários;
    • dados financeiros e de pagamento, como números de contas bancárias e informações de transações;
    • informações relacionadas à prestação dos serviços, como informações sobre apólices e informações sobre sinistros, incluindo informações relacionadas a incidentes que deram origem a sinistros e perdas relacionadas;
    • registros de comunicações e imagens de CFTV; e
    • dados de recursos humanos, como cargo e função; informações sobre benefícios e remuneração; informações de dependentes/beneficiários; informações sobre habilitações educacionais, acadêmicas e profissionais; informações de contato de emergência; e informações de gerenciamento de desempenho.
  5. Tipos de categorias especiais de dados a que se refere o artigo 5º, II da LGPD:

Os dados pessoais confidenciais processados pela Willis Towers Watson podem incluir as seguintes categorias especiais de dados pessoais:

  • origem racial ou étnica,
  • crenças religiosas,
  • crenças políticas,
  • filiação sindical ou organização religiosa, filosófica ou política,
  • dados relativos à saúde ou à vida sexual, informações genéticas ou biométricas, quando relacionado a uma pessoa física. A Willis Towers Watson processará dados pessoais sensíveis com o devido cuidado, considerando o maior risco que os dados sensíveis representam para seus titulares e o potencial discriminatório de seu uso.

Anexo 2 – Cláusulas Contratuais Padrão Brasileiras

Seção I - Informações Gerais

(Nota: Esta Seção contém Cláusulas que podem ser preenchidas pelas Partes apenas nos espaços indicados e seguindo as diretrizes fornecidas. As definições dos termos usados nestas Cláusulas são detalhadas na CLÁUSULA 6).

CLÁUSULA 1. Identificação das partes

1.1. Pelo presente instrumento contratual, o Exportador e o Importador (doravante denominados "Partes"), identificados no Contrato, conforme o caso, concordam em adotar as Cláusulas Contratuais Padrão (doravante denominadas "Cláusulas") aprovadas pela Autoridade Nacional de Proteção de Dados (ANPD) para reger a Transferência Internacional de Dados descrita na Cláusula 2ª, de acordo com o disposto na Legislação Brasileira.

CLÁUSULA 2. Objeto

2.1. Estas Cláusulas aplicam-se às Transferências Internacionais de Dados do Exportador para o Importador, conforme descrito abaixo.

Descrição da transferência internacional de dados: Conforme estabelecido no Contrato e no Anexo 1 deste Protocolo de Processamento de Dados.

CLÁUSULA 3. Transferências subsequentes

(Observação: escolha "OPÇÃO A" ou "OPÇÃO B", conforme aplicável.)

OPÇÃO A. (...)

3.1. O Importador não poderá realizar Transferências Subsequentes dos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas, exceto nas hipóteses previstas no item 18.3.

OPÇÃO B. (X)

3.1. O Importador poderá realizar Transferências Ulteriores dos Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas nas condições abaixo descritas e desde que observadas as disposições da Cláusula 18.

Principais objetivos da transferência: Conforme estabelecido no Contrato e no Anexo 1 deste Protocolo de Processamento de Dados.

CLÁUSULA 4. Responsabilidades das Partes

(Nota: Escolha "OPÇÃO A" ou "OPÇÃO B", conforme aplicável)

OPÇÃO A. (X)

(A opção A é exclusiva para transferências internacionais de dados em que pelo menos uma das partes atua como controladora)

4.1. Sem prejuízo do dever de assistência mútua e das obrigações gerais das Partes, a Parte Designada abaixo, na qualidade de Controladora, é responsável pelo cumprimento das seguintes obrigações previstas nestas Cláusulas:

  1. Responsável pela publicação do documento previsto na Cláusula 14
    (X ) Exportação ( ) Importação
  2. Responsável por responder às solicitações do titular dos dados referidas na CLÁUSULA 15:
    (X ) Exportação ( ) Importação
  3. Responsável por notificar uma violação de dados conforme previsto na Cláusula 16: (X ) Exportador ( ) Importador

(Nota: Nos itens "a", "b" e "c", marque a opção correspondente para: (i) "Exportador" ou "Importador", nos casos em que apenas uma das Partes atue como Controlador; ou (ii) marcar ambas as opções, nos casos em que ambas as Partes atuem como Controladores. A responsabilidade pelo cumprimento das obrigações referidas nas Cláusulas 14 a 16 não pode ser atribuída à Parte que atua como Processador. Se posteriormente for verificado que a Parte Designada atua como Processador, aplicar-se-ão as disposições do item 4.2.)

4.2. Para os fins destas Cláusulas, se posteriormente for verificado que a Parte Designada nos termos do item 4.1 atua como Operador, o Controlador permanecerá responsável:

  1. para o cumprimento das obrigações previstas nas Cláusulas 14, 15 e 16 e demais disposições estabelecidas na Legislação Brasileira, especialmente em caso de omissão ou descumprimento pela Parte Designada;
  2. pelo cumprimento das determinações da ANPD; e
  3. para garantir os direitos dos Titulares dos Dados e para compensar os danos causados, de acordo com o disposto na Cláusula 17.

OPÇÃO B. (...)

(Observação: a opção B é exclusiva para transferências internacionais de dados realizadas entre processadores)

4.3. Considerando que ambas as Partes atuam exclusivamente como Processadores no âmbito da Transferência Internacional de Dados regida por estas Cláusulas, o Exportador declara e garante que a transferência seja realizada de acordo com as instruções escritas fornecidas pelo Terceiro Controlador identificado na tabela abaixo.

Informações de identificação do Controlador Terceirizado:

Nome:

Qualificação:

Endereço principal:

Endereço eletrônico:

Contato para o titular dos dados:

Informações sobre o Contrato Vinculado:

(Nota: Preencha o mais detalhadamente possível com as informações de identificação e contato do Controlador Terceirizado e, se aplicável, do Contrato Vinculado).

4.4. O Exportador responderá solidariamente por quaisquer danos causados pela Transferência Internacional de Dados se esta for realizada em desconformidade com as obrigações da Legislação Brasileira ou com as instruções legais do Terceiro Controlador, hipótese em que o Exportador será considerado Controlador, de acordo com o disposto na Cláusula 17.

4.5. Caso o Exportador seja considerado Controlador conforme previsto no item 4.2, será responsável pelo cumprimento das obrigações previstas nas Cláusulas 14, 15 e 16.

4.6. Exceto conforme disposto nos itens 4.2 e 4.3, as disposições das Cláusulas 14, 15 e 16 não se aplicam às Partes que atuam como Processadores.

4.7. As Partes deverão fornecer, em qualquer caso, todas as informações de que disponham e que sejam necessárias para que o Terceiro Controlador cumpra as determinações da ANPD e cumpra adequadamente as obrigações previstas na Legislação Brasileira relacionadas à transparência, ao exercício dos direitos dos titulares e à notificação de violações de dados à ANPD.

4.8. As Partes devem promover a assistência mútua para responder às solicitações dos Titulares dos Dados.

4.9. Em caso de recebimento de uma solicitação do Titular dos Dados, a Parte deverá:

  1. responder ao pedido se tiver as informações necessárias;
  2. informar o Titular dos Dados sobre o canal de contato fornecido pelo Terceiro Controlador; ou
  3. encaminhar a solicitação ao Terceiro Controlador o mais rápido possível para viabilizar uma resposta dentro do prazo previsto na Legislação Brasileira.

4.10. As Partes deverão manter registro das violações de dados envolvendo dados pessoais, de acordo com a Legislação Brasileira.

Seção II - Das Cláusulas Obrigatórias

(Nota: Esta Seção contém Cláusulas que devem ser adotadas na íntegra e sem qualquer alteração em seu texto para garantir a validade da transferência internacional de dados).

CLÁUSULA 5. Propósito

5.1. Estas Cláusulas servem como mecanismo para viabilizar o fluxo internacional seguro de dados pessoais, estabelecer garantias mínimas e condições válidas para a execução das Transferências Internacionais de Dados e visam assegurar a adoção de salvaguardas adequadas ao cumprimento dos princípios, direitos do Titular e do regime de proteção de dados previsto na Legislação Brasileira.

CLÁUSULA 6ª. Definições

6.1. Para os fins destas Cláusulas, aplicam-se as definições constantes do artigo 5º da Lei nº 13.709, de 14 de agosto de 2018, e do artigo 3º do Regulamento de Transferência Internacional de Dados, sem prejuízo de outros atos normativos editados pela ANPD. As Partes também concordam em considerar os termos e seus respectivos significados conforme estabelecido abaixo:

  1. Agentes de tratamento: o responsável pelo tratamento e o subcontratante;
  2. ANPD: Autoridade Nacional de Proteção de Dados;
  3. Cláusulas: as Cláusulas Contratuais Padrão aprovadas pela ANPD, que compreendem as Seções I, II e III;
  4. Contrato Vinculado: instrumento contratual celebrado entre as Partes ou, pelo menos, entre uma delas e um terceiro, incluindo um Terceiro Controlador, que tenha uma finalidade, vínculo ou relação de dependência comum com o Contrato que rege a Transferência Internacional de Dados;
  5. Controlador: uma Parte ou terceiro ("Terceiro Controlador") responsável pelas decisões relativas ao tratamento de Dados Pessoais;
  6. Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável;
  7. Dado Pessoal Sensível: dado pessoal referente à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico quando vinculado a uma pessoa natural;
  8. Eliminação: a exclusão de dados ou de um conjunto de dados armazenados em um banco de dados, independentemente do método utilizado;
  9. Exportador: agente de tratamento localizado no território brasileiro ou em país estrangeiro que transfere dados pessoais para um Importador;
  10. Importador: agente de tratamento localizado em país estrangeiro ou organização internacional que recebe dados pessoais transferidos por um Exportador;
  11. Legislação Brasileira: o conjunto de disposições constitucionais, legais e regulamentares brasileiras relativas à proteção de dados pessoais, incluindo a Lei nº 13.709, de 14 de agosto de 2018, o Regulamento de Transferência Internacional de Dados e outros atos normativos editados pela ANPD;
  12. Lei de Arbitragem: Lei nº 9.307 de 23 de setembro de 1996;
  13. Medidas de Segurança: medidas técnicas e administrativas adotadas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
  14. Órgão de Pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado, sem fins lucrativos, legalmente constituída sob a legislação brasileira, com sede no país, cuja missão institucional ou finalidade social/estatutária inclua pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
  15. Processador: uma Parte ou terceiro, incluindo um Subcontratado, que processa Dados Pessoais em nome do Controlador;
  16. Parte Designada: a Parte designada, de acordo com a Cláusula 4 ("Opção A"), para cumprir obrigações específicas como Controlador em relação à transparência, direitos do Titular dos Dados e notificação de violações de dados;
  17. Partes: Exportador e Importador;
  18. Solicitação de Acesso: uma solicitação obrigatória, por lei, regulamento ou determinação de autoridade pública, para conceder acesso aos Dados Pessoais sujeitos à Transferência Internacional de Dados regida por estas Cláusulas;
  19. Subcontratado: agente de tratamento contratado pelo Importador, sem vínculo com o Exportador, para tratar Dados Pessoais após uma Transferência Internacional de Dados;
  20. Controlador Terceiro: o Controlador dos Dados Pessoais que fornece instruções por escrito para a execução, em seu nome, da Transferência Internacional de Dados entre Processadores regidos por estas Cláusulas, nos termos da Cláusula 4 ("Opção B");
  21. Titular dos Dados: a pessoa natural a quem se referem os Dados Pessoais objeto da Transferência Internacional de Dados regida por estas Cláusulas;
  22. Transferência: método de tratamento pelo qual um agente de tratamento transmite, compartilha ou fornece acesso a Dados Pessoais a outro agente de tratamento;
  23. Transferência Internacional de Dados: a transferência de Dados Pessoais para um país estrangeiro ou uma organização internacional da qual o país é membro; e
  24. Transferência Subsequente: a Transferência Internacional de Dados, originada de um Importador e destinada a um terceiro, incluindo um Subcontratado, desde que não constitua uma Solicitação de Acesso.

CLÁUSULA 7. Legislação Aplicável e Supervisão da ANPD

7.1. A Transferência Internacional de Dados sujeita a estas Cláusulas é regida pela Legislação Brasileira e pela supervisão da ANPD, incluindo o poder de aplicar medidas preventivas e sanções administrativas a ambas as Partes, conforme o caso, bem como de limitar, suspender ou proibir transferências internacionais decorrentes destas Cláusulas ou de um Contrato Vinculado.

CLÁUSULA 8. Interpretação

8.1. Qualquer aplicação destas Cláusulas deve estar de acordo com os seguintes termos:

  1. Estas Cláusulas devem ser sempre interpretadas da forma mais favorável ao Titular e de acordo com o disposto na Legislação Brasileira;
  2. Em caso de dúvida sobre o significado dos termos nestas Cláusulas, aplica-se o significado que mais se alinha com a Legislação Brasileira;
  3. Nenhum item destas Cláusulas, incluindo um Contrato Vinculado e as disposições da Seção IV, poderá ser interpretado com o objetivo de limitar ou excluir a responsabilidade de qualquer das Partes em relação às obrigações previstas na Legislação Brasileira; e
  4. As disposições das Seções I e II prevalecerão em caso de conflito de interpretação com Cláusulas adicionais e demais disposições previstas nas Cláusulas III e IV deste instrumento ou em Contrato Vinculado.

CLÁUSULA 9. Adesão de terceiros

9.1. De comum acordo entre as Partes, um agente de tratamento poderá aderir a estas Cláusulas como Exportador ou Importador mediante o preenchimento e assinatura de documento escrito que passará a integrar este instrumento.

9.2. A parte aderente terá os mesmos direitos e obrigações que as partes originais, de acordo com a posição assumida de exportador ou importador e a categoria correspondente de agente de processamento.

CLÁUSULA 10. Obrigações Gerais das Partes

10.1. As Partes se comprometem a adotar e, quando necessário, demonstrar a adoção de medidas eficazes capazes de comprovar o cumprimento do disposto nestas Cláusulas e da Legislação Brasileira e, em especial:

  1. Utilizar os Dados Pessoais apenas para as finalidades específicas descritas na Cláusula 2ª, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades, sujeita-se, em qualquer caso, às limitações, garantias e salvaguardas previstas nestas Cláusulas;
  2. Garantir que o tratamento é compatível com as finalidades informadas ao Titular, de acordo com o contexto do tratamento;
  3. Limitar o tratamento ao mínimo necessário para a consecução das suas finalidades, incluindo dados pertinentes, proporcionais e não excessivos relativos às finalidades do tratamento dos Dados Pessoais;
  4. Garantir que os Titulares dos Dados, sujeitos às disposições da Cláusula 4,
    • ter acesso a informações claras, precisas e facilmente acessíveis sobre o tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
    • ter consulta facilitada e gratuita sobre a forma e duração do tratamento, bem como sobre a totalidade de seus Dados Pessoais; e
    • possuir Dados Pessoais precisos, claros, pertinentes e atualizados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
  5. Adotar medidas de segurança adequadas e compatíveis com os riscos envolvidos na Transferência Internacional de Dados regida por estas Cláusulas;
  6. Não tratar Dados Pessoais para fins discriminatórios, ilegais ou abusivos;
  7. Garantir que qualquer pessoa agindo sob sua autoridade, incluindo subcontratados ou qualquer agente que coopere com eles, gratuitamente ou mediante pagamento, processe os dados apenas de acordo com suas instruções e as disposições destas Cláusulas; e
  8. Manter um registro das operações de tratamento de Dados Pessoais sujeitas à Transferência Internacional de Dados regida por estas Cláusulas e apresentar a documentação pertinente à ANPD quando solicitado.

CLÁUSULA 11. Dados Pessoais Sensíveis

11.1. Caso a Transferência Internacional de Dados envolva Dados Pessoais Sensíveis, as Partes aplicarão salvaguardas adicionais, incluindo medidas de segurança específicas proporcionais aos riscos da atividade de tratamento, à natureza específica dos dados e aos interesses, direitos e garantias a serem protegidos, conforme descrito na Seção III.

CLÁUSULA 12. Dados Pessoais de Crianças e Adolescentes

12.1. Caso a Transferência Internacional de Dados envolva Dados Pessoais de crianças e adolescentes, as Partes aplicarão salvaguardas adicionais, incluindo medidas para garantir que o tratamento seja realizado em seu melhor interesse, de acordo com a Legislação Brasileira e os instrumentos jurídicos internacionais pertinentes.

CLÁUSULA 13. Uso legal de dados

13.1. O Exportador garante que os Dados Pessoais foram coletados, processados e transferidos ao Importador de acordo com a Legislação Brasileira.

CLÁUSULA 14. Transparência

14.1. A Parte Designada publicará, em seu website, um documento contendo informações de fácil acesso, escritas em linguagem simples, clara e precisa, sobre a execução da Transferência Internacional de Dados, incluindo, pelo menos, as seguintes informações:

  1. A forma, duração e finalidade específica da transferência internacional;
  2. O país de destino dos dados transferidos;
  3. A identificação e os dados de contato da Parte Designada;
  4. O compartilhamento de dados pelas Partes e a finalidade;
  5. As responsabilidades dos agentes de tratamento;
  6. Os direitos do Titular e os meios para exercê-los, incluindo um canal de fácil acesso para atender às solicitações e o direito de petição contra o Controlador perante a ANPD; e
  7. Transferências subsequentes, incluindo informações sobre os destinatários e a finalidade da transferência.

14.2. O documento referido no item 14.1 poderá ser disponibilizado em página específica ou integrado de forma destacada e de fácil acesso à Política de Privacidade ou documento equivalente.

14.3. Mediante solicitação, as Partes fornecerão ao Titular dos Dados uma cópia gratuita destas Cláusulas, observados os segredos comercial e industrial.

14.4. Todas as informações disponibilizadas aos titulares dos dados, conforme exigido por estas Cláusulas, devem ser escritas em português.

CLÁUSULA 15. Direitos do Titular dos Dados

15.1. O Titular tem o direito de obter da Parte Designada, relativamente aos Dados Pessoais sujeitos à Transferência Internacional de Dados regida por estas Cláusulas, a qualquer tempo e mediante requisição, nos termos da Legislação Brasileira:

  1. Confirmação da existência de tratamento;
  2. Acesso aos dados;
  3. Correção de dados incompletos, inexatos ou desatualizados;
  4. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados ilicitamente, em desconformidade com estas Cláusulas e com o disposto na Legislação Brasileira;
  5. Portabilidade de dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da ANPD, observados os segredos comercial e industrial;
  6. Eliminação dos Dados Pessoais tratados com o consentimento do Titular, exceto nos casos previstos na Cláusula 20.ª;
  7. Informações sobre as entidades públicas e privadas com as quais as Partes compartilharam dados;
  8. Informação sobre a possibilidade de não fornecer consentimento e as consequências da negativa;
  9. Retirada do consentimento por meio de procedimento livre e facilitado, com ratificação do tratamento realizado antes da solicitação de exclusão;
  10. Revisão de decisões tomadas exclusivamente com base no tratamento automatizado de dados pessoais que afetem seus interesses, incluindo decisões que visem definir seu perfil pessoal, profissional, de consumo e de crédito ou aspectos de sua personalidade; e
  11. Informações sobre os critérios e procedimentos utilizados para a tomada de decisões automatizadas, observados os segredos comercial e industrial.

15.2. O Titular poderá se opor ao tratamento realizado com base em um dos motivos de dispensa do consentimento, em caso de descumprimento destas Cláusulas ou da Legislação Brasileira.

15.3. O prazo para resposta às solicitações previstas nesta Cláusula e no item 14.3 é de 15 (quinze) dias contados da data da solicitação do Titular, exceto nos casos em que prazo diverso seja estabelecido por regulamentação específica da ANPD.

15.4. Caso a solicitação do Titular seja direcionada à Parte não designada como responsável pelas obrigações previstas nesta Cláusula ou no item 14.3, a Parte deverá:

  1. Informar o Titular dos Dados sobre o canal de contato fornecido pela Parte Designada; ou
  2. Encaminhar a solicitação à Parte Designada o mais breve possível, para viabilizar uma resposta dentro do prazo previsto pela Legislação Brasileira.

15.5. As Partes deverão informar imediatamente aos Agentes de Tratamento com os quais compartilharam dados sobre qualquer correção, exclusão, anonimização ou bloqueio de dados, para que possam tomar a mesma providência, exceto nos casos em que essa comunicação seja comprovadamente impossível ou envolva esforço desproporcional.

15.6. As Partes devem promover a assistência mútua para responder às solicitações dos Titulares dos Dados.

CLÁUSULA 16. Notificação de violação de dados

16.1. A Parte Designada deverá notificar a ANPD e os Titulares, no prazo de 3 (três) dias úteis, da ocorrência de violação de dados que possa resultar em risco ou dano significativo aos Titulares, de acordo com o disposto na Legislação Brasileira.

16.2. O Importador deve manter um registro de violações de dados de acordo com a Legislação Brasileira.

CLÁUSULA 17. Responsabilidade e Indemnização de Danos

17.1. A Parte que, em decorrência de suas atividades de tratamento de Dados Pessoais, causar danos materiais, morais, individuais ou coletivos, em desacordo com o disposto nestas Cláusulas e na Legislação Brasileira, obriga-se a ressarcir tais danos.

17.2. O Titular dos Dados pode buscar indenização por danos causados por qualquer uma das Partes em razão da violação destas Cláusulas.

17.3. A defesa dos interesses e direitos dos Titulares dos Dados poderá ser requerida em juízo, individual ou coletivamente, de acordo com a legislação pertinente relativa aos instrumentos legais de proteção individual e coletiva.

17.4. A Parte que atua como Operadora é solidariamente responsável pelos danos causados pelo tratamento quando descumprir estas Cláusulas ou quando não tiver seguido as instruções legais do Controlador, observado o disposto no item 17.6.

17.5. Os Controladores diretamente envolvidos no tratamento que causou dano ao Titular são solidariamente responsáveis por tais danos, observado o disposto no item 17.6.

17.6. As Partes não serão responsabilizadas se for comprovado que:

  1. Não realizaram o tratamento de Dados Pessoais que lhes são atribuídos;
  2. Embora tenham realizado o tratamento de Dados Pessoais a eles atribuídos, não houve violação a estas Cláusulas ou à Legislação Brasileira; ou
  3. O dano resultou exclusivamente de culpa do Titular dos Dados ou de terceiros, não sendo um destinatário da Onward Transfer ou um subcontratado das Partes.

17.7. De acordo com a legislação brasileira, o juiz pode inverter o ônus da prova em favor do titular quando a alegação for crível, houver insuficiência para produção de provas ou quando a produção de provas pelo titular for excessivamente onerosa.

17.8. As ações coletivas de indemnização de danos destinadas a responsabilizar nos termos da presente cláusula podem ser intentadas coletivamente em tribunal, nos termos da legislação aplicável.

17.9. A Parte que indemniza o Titular dos Dados por danos tem o direito de regresso contra as outras Partes responsáveis, na medida do seu envolvimento no facto danoso.

CLÁUSULA 18. Salvaguardas para transferência subsequente

18.1. O Importador só poderá realizar Transferências Subsequentes dos Dados Pessoais sujeitos à Transferência Internacional de Dados regida por estas Cláusulas se expressamente autorizado, nas condições descritas na Cláusula 3.

18.2. Em qualquer caso, o Importador:

  1. Deve garantir que o objetivo da Transferência Subsequente seja compatível com os propósitos específicos descritos na Cláusula 2;
  2. Deve assegurar, por meio de instrumento contratual escrito, que as salvaguardas previstas nestas Cláusulas sejam observadas pelo terceiro destinatário da Transferência Subsequente; e
  3. Para os fins destas Cláusulas, e em relação aos Dados Pessoais transferidos, será considerada responsável por quaisquer irregularidades cometidas pelo terceiro destinatário da Transferência Subsequente.

18.3. As Transferências Subsequentes também poderão ser realizadas com base em outro mecanismo válido de Transferência Internacional de Dados previsto na Legislação Brasileira, independentemente da autorização mencionada na Cláusula 3ª.

CLÁUSULA 19. Notificação de Solicitação de Acesso

19.1. O Importador notificará o Exportador e o Titular dos Dados sobre qualquer Solicitação de Acesso relacionada aos Dados Pessoais sujeitos à Transferência Internacional de Dados regida por estas Cláusulas, exceto quando a notificação for proibida pela lei do país de processamento de dados.

19.2. O Importador deverá tomar as medidas legais cabíveis, inclusive ações judiciais, para proteger os direitos dos Titulares sempre que houver base legal para impugnar a legalidade da Solicitação de Acesso e, se for o caso, a vedação de notificação a que se refere o item 19.1.

19.3. Para atender às solicitações da ANPD e do Exportador, o Importador deve manter um registro das Solicitações de Acesso, incluindo a data, o solicitante, a finalidade da solicitação, o tipo de dados solicitados, o número de solicitações recebidas e as medidas legais tomadas.

CLÁUSULA 20. Término do processamento e exclusão de dados

20.1. As Partes excluirão os Dados Pessoais sujeitos à Transferência Internacional de Dados regida por estas Cláusulas após o término do tratamento, dentro do escopo técnico e dos limites das atividades, sendo permitida a retenção apenas para os seguintes fins:

  1. Cumprimento de obrigação legal ou regulatória pelo Controlador;
  2. Pesquisa por Órgão de Pesquisa, assegurada, sempre que possível, a anonimização dos Dados Pessoais;
  3. Transferência a terceiro, desde que respeitados os requisitos previstos nestas Cláusulas e na Legislação Brasileira; e
  4. Uso exclusivo do Controlador, impedindo o acesso de terceiros, e desde que os dados sejam anonimizados.

20.2. Para os fins desta Cláusula, o término do processamento ocorrerá quando:

  1. O objetivo previsto nestas Cláusulas é alcançado;
  2. Os Dados pessoais não são mais necessários ou relevantes para atingir a finalidade específica prevista nestas Cláusulas;
  3. O período de processamento termina;
  4. A solicitação de um Titular dos Dados é atendida; e
  5. Determinado pela ANPD, em caso de violação destas Cláusulas ou da Legislação Brasileira.

CLÁUSULA 21. Segurança do processamento de dados

21.1. As Partes adotarão medidas de segurança que garantam a proteção dos Dados Pessoais sujeitos à Transferência Internacional de Dados regida por estas Cláusulas, mesmo após o seu término.

21.2. As Partes especificarão as Medidas de Segurança adotadas na Seção III, considerando a natureza das informações tratadas, as características específicas e a finalidade do tratamento, o estado atual da tecnologia e os riscos aos direitos dos Titulares, especialmente no caso de dados pessoais sensíveis e dados de crianças e adolescentes.

21.3. As Partes envidarão os esforços necessários para adotar medidas periódicas de avaliação e revisão para manter um nível de segurança adequado de acordo com as características do processamento de dados.

CLÁUSULA 22. Legislação do País Destinatário dos Dados

22.1. O Importador declara que não identificou quaisquer leis ou práticas administrativas do país destinatário dos dados que o impeçam de cumprir as obrigações assumidas nestas Cláusulas.

22.2. Caso ocorra alguma alteração normativa que altere essa situação, o Importador deverá notificar imediatamente o Exportador para uma avaliação da continuidade do contrato.

CLÁUSULA 23. Descumprimento das Cláusulas pelo Importador

23.1. Em caso de descumprimento das salvaguardas e garantias previstas nestas Cláusulas ou de incapacidade do Importador em cumpri-las, o Exportador será notificado imediatamente, observado o disposto no item 19.1.

23.2. Recebido a notificação referida no item 23.1 ou a verificação do descumprimento destas Cláusulas pelo Importador, o Exportador deverá tomar as medidas necessárias para assegurar a proteção dos direitos dos Titulares e a conformidade da Transferência Internacional de Dados com a Legislação Brasileira e estas Cláusulas, que podem incluir:

  1. Suspensão da Transferência Internacional de Dados;
  2. Solicitar a devolução dos Dados Pessoais, sua transferência a terceiros ou sua exclusão; e
  3. Rescisão do contrato.

CLÁUSULA 24. Escolha do foro e jurisdição

24.1. Estas Cláusulas são regidas pela legislação brasileira, e qualquer disputa entre as Partes decorrente destas Cláusulas será resolvida perante os tribunais competentes do Brasil, observado o foro escolhido pelas Partes na Seção IV, se aplicável.

24.2. Os Titulares dos Dados poderão ajuizar ações judiciais contra o Exportador ou o Importador, a seu critério, perante os tribunais competentes no Brasil, inclusive aqueles localizados em seu local de residência.

24.3. As Partes poderão acordar mutuamente o uso da arbitragem para dirimir disputas decorrentes destas Cláusulas, desde que ocorra no Brasil e de acordo com as disposições da Lei de Arbitragem.

Seção III - Medidas de Segurança

As seguintes Medidas Técnicas e Organizacionais, incluindo Medidas Técnicas e Organizacionais para Garantir a Segurança dos Dados, aplicam-se ao processamento de Dados Pessoais sujeitos a este Protocolo.

As seguintes definições se aplicam nesta Seção III.  Nos casos em que uma palavra ou frase em maiúsculas não é definida neste Anexo, mas no Contrato ou DPA, as definições apropriadas do Contrato ou DPA são incorporadas por referência a este Anexo.

Definições

Sistemas Clientes: significa a rede e a infraestrutura de TI associada (por exemplo, computadores, firewalls, bancos de dados, switches, software, etc.) sob o controle do Cliente.

Pessoal: significa um funcionário(s) e contratado(s) da WTW ou de suas afiliadas contratados pela WTW que tem acesso direto às Informações do Cliente.

Incidente de Segurança: significa (a) qualquer circunstância que envolva, ou que seja razoavelmente provável que envolva, (i) acesso, uso, divulgação, modificação, armazenamento, destruição ou perda acidental ou não autorizada de Informações do Cliente em posse, custódia ou controle da WTW;  (ii) interferência na operação do sistema em um sistema de informação ou em qualquer meio ou formato, incluindo documentos impressos em papel que sujeitam as Informações do Cliente a risco de acesso, uso, divulgação, modificação, armazenamento, destruição ou perda não autorizados; ou (b) qualquer outro incidente semelhante que possa ser definido por qualquer lei de privacidade de dados aplicável e por quaisquer leis e regulamentos aplicáveis (nacionais, federais, estaduais e provinciais) relacionados à proteção das Informações do Cliente. 

Normas: significa as Normas descritas abaixo.

WTW significa Empresa

  1. Programa de Segurança da Informação por escrito. A WTW manterá um Programa de Segurança da Informação abrangente e por escrito, alinhado aos padrões da indústria (por exemplo, ISO 27001, ISF SoGP) que deverá conter salvaguardas administrativas, técnicas e físicas apropriadas projetadas para proteger a segurança, confidencialidade ou integridade das Informações Confidenciais (como acesso não autorizado, coleta, uso, cópia, modificação, descarte ou divulgação, perda, destruição, aquisição não autorizada, ilegal ou acidental, ou danos) ("Programa de Segurança da Informação") que atenda ou exceda os requisitos destas Normas e da lei aplicável.  O Programa de Segurança da Informação será revisado e aprovado pela administração e pelas partes interessadas do Grupo WTW. Esse Programa de Segurança da Informação estará disponível para análise do Cliente mediante solicitação, nas instalações da WTW ou por meio de uma sessão segura de colaboração na web;
  2. Sensibilização e educação dos utilizadores (formação). A WTW exigirá que o pessoal da WTW cumpra seu Programa de Segurança da Informação. A WTW fornecerá ao seu Pessoal treinamento adequado sobre segurança da informação e proteção das Informações do Cliente;
  3. Revisões de segurança da informação. Além de quaisquer avaliações de risco que a WTW possa realizar, ela realizará uma revisão anual de seu Programa de Segurança da Informação para avaliar a força dos controles; e implementar melhorias, quando necessário. Durante o curso da prestação dos Serviços, a WTW não poderá alterar ou modificar seu Programa de Segurança da Informação de forma que afete negativamente materialmente a capacidade da WTW de proteger a segurança, confidencialidade ou integridade das Informações do Cliente e, mediante solicitação do Cliente, no máximo uma vez por ano, a WTW compartilhará a versão mais atual do documento de visão geral dos programas de segurança da informação e privacidade de dados do Grupo WTW;
  4. Cadeia de suprimentos e segurança de terceiros. A WTW terá e manterá um programa de due diligence de terceiros e conduzirá uma avaliação de risco de due diligence sobre o terceiro consistente com seu processo de governança de terceiros, para garantir que ele tenha controles suficientes alinhados com as práticas padrão do setor e substancialmente semelhantes aos deste Contrato na medida aplicável à natureza dos serviços de terceiros, para proteger as Informações do Cliente e as informações confidenciais dos fornecedores contratados para fornecer serviços à WTW, ou contratado pela WTW para prestar serviços ao Cliente;
  5. Controles e gerenciamento de acesso. A WTW terá um programa formal para gerenciar contas de rede com privilégios elevados, incluindo revisão periódica de acesso;
  6. Acesso remoto. A WTW usará autenticação de dois fatores para acesso remoto à sua rede;
  7. Controles de acesso físico. As instalações da WTW que armazenam informações do cliente terão proteções de acesso físico que atendem ou excedem os padrões de segurança do setor. Isso inclui restrições de acesso em todos os momentos, incluindo a restrição de acesso a áreas sensíveis a Funcionários aprovados;
  8. Configuração segura de TI. A WTW aplicará seu Programa de Segurança da Informação em cada local a partir do qual a WTW fornece os Serviços. Além disso, deve garantir que seu Programa de Segurança da Informação cubra redes, sistemas, servidores, estações de trabalho, telefones celulares e outros dispositivos e mídias que processam, hospedam ou armazenam Informações do Cliente.  O Programa de Segurança da Informação da WTW inclui proteção por senha padrão do setor, firewalls e proteções antivírus para proteger as Informações do Cliente contra ameaças ou perigos previstos e proteger contra acesso ou uso não autorizado das Informações do Cliente;
  9. Controles de senha e autenticação. A WTW terá e manterá uma política formal com relação à senha e autenticação em sua rede. Os controles técnicos devem estar em vigor para forçar as alterações de senha de rede para o Pessoal pelo menos a cada 90 dias, as senhas devem ter requisitos de complexidade aplicados;
  10. Sistema de Detecção/Prevenção de Intrusão. A WTW deve dispor de soluções que utilizem sensores de deteção baseados em rede. Todos os pontos de conectividade da internet e extranet na rede WTW são monitorados com um sistema de prevenção de intrusão;
  11. Vazamento e proteção de informações. A WTW deve ter em vigor e aplicar a prevenção contra perda de dados (DLP) por meio de controles técnicos para monitorar e bloquear a saída de PII não criptografadas e outros dados confidenciais, como números de previdência social, números de seguro nacional e dados confidenciais do cliente, por meio do sistema de e-mail da WTW e outros canais de saída;
  12. Criptografia. A WTW criptografará, usando ferramentas de criptografia padrão do setor, todas as Informações Pessoais e Informações Pessoais Confidenciais que a WTW transmite ou envia sem fio ou através de redes e lojas públicas. A WTW deve salvaguardar a segurança e a confidencialidade de todas as chaves de criptografia;
  13. Mídia portátil. A WTW terá controles técnicos em vigor quando o Pessoal com acesso às Informações do Cliente for impedido de gravar Informações Pessoais Confidenciais do Cliente em dispositivos portáteis USB não criptografados. Controles técnicos devem ser utilizados quando necessário para impedir que terceiros contratados pela WTW baixem essas informações da rede WTW para a rede de terceiros, a menos que aprovados;
  14. Gerenciamento de patches e vulnerabilidades. A WTW armazenará as Informações do Cliente em sistemas que sigam um plano responsável de gerenciamento de patches de segurança e vulnerabilidade e incluam software atualizado de proteção contra vírus. A verificação regular de vulnerabilidades dos principais sistemas da WTW será realizada e quaisquer vulnerabilidades detectadas serão corrigidas em tempo hábil, de acordo com a política da WTW. Esse plano de gerenciamento de patches deve corrigir todos os sistemas consistentes com o programa de gerenciamento de patches da WTW;
  15. Teste de penetração. A WTW deve contratar um terceiro independente para realizar um teste de penetração de rede externa global anualmente. A WTW fornecerá um resumo executivo do relatório de teste de penetração para revisão do Cliente a pedido do Cliente, sujeito à assinatura de um acordo de confidencialidade, caso ainda não exista entre o Cliente e a WTW;
  16. Monitoramento de segurança. A WTW utilizará uma ferramenta de Gerenciamento de Incidentes e Eventos de Segurança que receba registros do Active Directory, Network IPS e VPN Remote Access. A WTW manterá esses registros por um período de treze (13) meses. A WTW deve ter um proxy da web para proteger as comunicações externas da web, impedir o acesso a sites como aqueles que contêm malware e URLs de phishing. A WTW empregará defesa de e-mail para e-mails recebidos e enviados, o que impediria que e-mails com conteúdo malicioso chegassem ao pessoal da WTW;
  17. Auditoria. Com o objetivo de auditar a conformidade da WTW com suas obrigações, incluindo estas Normas, a WTW deverá fornecer ao Cliente, mediante aviso prévio razoável (pelo menos 30 dias): (a) acesso acompanhado às instalações de processamento de informações e registros relevantes para os serviços no escopo; b) Assistência e cooperação razoáveis do pessoal competente; e (c) instalações razoáveis nas instalações da WTW.  Além disso, mediante notificação à WTW, ela fornecerá assistência e suporte razoáveis ao Cliente no caso de uma investigação por qualquer regulador, incluindo um regulador de proteção de dados ou autoridade similar, se e na medida em que tal investigação se relacione às Informações Pessoais tratadas pela WTW em nome do Cliente.  Quaisquer auditorias serão por conta e custo exclusivo do Cliente, incluindo o tempo da equipe da WTW e não serão realizadas com mais frequência do que uma vez a cada 12 meses para o Cliente em todos os serviços prestados pela WTW, a menos que associadas a uma violação confirmada que afete as Informações do Cliente que se qualifique como uma exceção à limitação anual, desde que: (i) tal auditoria ocorra em um momento mutuamente acordado e a duração da auditoria seja limitada a um período razoável; (ii) tal auditoria não deve interferir injustificadamente nas operações da WTW; (iii) qualquer terceiro que realize tal auditoria em nome do Cliente deverá assinar um acordo de confidencialidade com a WTW de uma forma razoavelmente aceitável para a WTW com relação ao tratamento confidencial e uso restrito das informações confidenciais da WTW ou de seus fornecedores terceirizados e sob nenhuma circunstância a WTW será obrigada a divulgar informações de outros clientes da WTW; (iv) O Cliente deverá manter as informações divulgadas a ele no decorrer da auditoria confidenciais de todos os terceiros, exceto de qualquer terceiro que participe da auditoria com o consentimento da WTW, conforme descrito abaixo; v) a auditoria deve ser realizada sob reserva de restrições de segurança razoáveis da WTW; e (vi) o Cliente reconhece que a WTW pode exigir que certos registros, políticas, registros ou outros materiais sejam revisados no local devido à sua natureza confidencial e que o auditor do Cliente não terá permissão para copiá-los.  Não obstante o acima exposto, nenhum terceiro poderá participar de uma auditoria, a menos que o Cliente obtenha o consentimento prévio da WTW (que não deve ser negado injustificadamente) e desde que o Cliente entenda que a WTW não consentirá com a participação de terceiros que ofereçam serviços ou produtos que concorram com os da própria WTW; 
  18. Plano de Resposta a Incidentes e Notificação. A WTW deve ter um plano de resposta a incidentes documentado que inclua procedimentos para identificar e investigar efetivamente os Incidentes de Segurança. O Diretor de Relacionamento com o Cliente da WTW (ou pessoa designada) notificará o Cliente por escrito imediatamente (e em qualquer caso) dentro de 72 horas após uma Violação de Segurança confirmada, exceto quando tal notificação for proibida pela lei aplicável.  A menos que exigido por lei ou solicitado pelo Cliente, a WTW não notificará nenhum indivíduo afetado ou qualquer terceiro sobre uma Violação de Segurança, exceto autoridades policiais e terceiros contratados pela WTW para auxiliar na investigação ou remediação de qualquer Violação de Segurança;
  19. Investigação de Resposta a Incidentes. No caso de qualquer Incidente de Segurança, a WTW investigará imediatamente o Incidente de Segurança e tomará todas as medidas necessárias para eliminar ou conter a exposição das Informações do Cliente. A WTW desenvolverá um plano para remediar e, na medida do possível, reduzir a probabilidade de recorrência do Incidente de Segurança;
  20. Controle de mudanças. A WTW documentou o processo de controle de mudanças em vigor para lidar com a infraestrutura de TI e de acordo com nosso programa de segurança da informação; e
  21. Continuidade de Negócios e Recuperação de Desastres. A WTW deve ter planos documentados de continuidade de negócios e recuperação de desastres projetados para minimizar a interrupção dos serviços, com testes realizados pelo menos uma vez por ano.
Contact us