Política de Privacidade CMF

Introdução

A proteção à privacidade e o cuidado adequado com o tratamento de dados pessoais numa realidade que avança no sentido do uso cada vez mais disseminado de tecnologias digitais é um desafio comum a todas as organizações do mundo.

No Brasil, a Lei Geral de Proteção de Dados Pessoais (“LGPD”) entrou em vigor em agosto/2020 (com exceção para suas disposições a respeito de potenciais sanções aplicáveis que passaram a valer a partir de agosto/2021) regulamentando o tratamento de dados pessoais por meios físicos e digitais visando à preservação da privacidade dos seus titulares, em sintonia com o desenvolvimento econômico das atividades que demandam o uso destas informações. A LGPD traz consigo, portanto, uma profunda transformação no sistema de proteção de dados brasileiro como um todo, impactando a sociedade ao se estabelecer como a primeira legislação geral para o uso de dados pessoais no Brasil, tanto no setor privado como no público, em complemento a outros dispositivos que já tratavam sobre o tema (como no Marco Civil da Internet, o Código Civil, o Código de Defesa do Titular e Constituição Federal).

Sendo assim, este Guideline encontra-se estruturado de acordo com as políticas do grupo MMC, incluindo-se de forma complementar as adequações necessárias à LGPD, com o objetivo de nortear os colaboradores da Carpenter Marsh na sua rotina de trabalho, de modo a reforçar continuamente a cultura de respeito e proteção de dados e informações dentro de nossa organização.

Aqui o colaborador poderá encontrar de forma fácil, didática e objetiva as instruções para lidar com a nova realidade de proteção de dados pessoais seja na condição de titular de seus próprios dados pessoais, seja na condição de agente de tratamento de dados pessoais de terceiros nas nossas atividades operacionais. Dessa forma, serão apresentados tanto os principais conceitos e diretrizes previstos na LGPD, bem como procedimentos e práticas de governança que devem ser seguidos pelos colaboradores no dia a dia de implementação desta lei à realidade da Carpenter Marsh.

Este guia também poderá ser compartilhado com clientes, resseguradores, corretores e prestadores de serviços para maior transparência na relação com eles mantida, bem como para que conheçam o alto grau de comprometimento da Carpenter Marsh no que se refere às suas práticas de negócios, políticas e procedimentos de proteção de dados pessoais com os quais lidamos.

Convidamos você a conhecer também nosso Código de Ética e Conduta – The Greater Good disponível no seguinte link. Para mais informações a respeito do uso adequado dos dados pessoais tratados na Carpenter Marsh, não deixe de verificar:

- Aviso de Privacidade

- Política de Uso Adequado de Informações

- Política de Segurança da Informação - MMC Information and Cyber Security Program

Neste momento, não se pretende abranger e esgotar todos os aspectos da LGPD, uma vez que algumas diretrizes de proteção de dados ainda necessitam de detalhamento, em regulamentos e procedimentos próprios, a serem editados pela ANPD.

ÍNDICE

1.  PANORAMA DA LGPD

1.1. Definições Relevantes

1.2. Princípios Gerais da Proteção de Dados

1.3. Direitos dos Titulares

  2.  CARPENTER MARSH FAC COMO CONTROLADORA

2.1. Escopo da posição de Controlador

2.1.1. Processos de Recrutamento e Seleção

2.1.2. Relações Trabalhistas

2.1.3. Atividades de Prospecção

2.1.4. Contratos Corporativos.

2.1.5. Cautelas gerais para as atividades de tratamento

2.2. Obrigações específicas do controlador

3.  CARPENTER MARSH FAC COMO OPERADORA: RELAÇÕES NO MERCADO DE SEGUROS E RESSEGUROS

3.1. Escopo da posição de operador

3.1.1. Contratos de Resseguro

3.1.3. Cautelas gerais para as atividades de tratamento

3.2. Limites da posição de operador

4.  GESTÃO DE INCIDENTES

4.1. Procedimentos e cautelas

4.2. Penalidades e Responsabilização

  5.  CULTURA DE PRIVACIDADE

5.1. Princípios de Privacy by Design

5.2. Atualização de Registros

5.3. Capacitação Permanente de Colaboradores

5.4. Auditoria Anual

5.5. Encarregado de Proteção de Dados

5.6 Política PLD CMF 

  6.  CONTATO ATUALIZAÇÕES

6.1. Histórico de Versões e Atualização

6.2. Formas de Contato para Dúvidas e Denúncias

1.  PANORAMA DA LGPD

1.1. Definições Relevantes

Os termos a seguir são elencados para facilitar a compreensão deste Guideline e dos demais documentos adotados pela Carpenter Marsh Fac no âmbito da regulação do tema da proteção de dados pessoais em sua operação. São eles:

• ANPD: Agência Nacional de Proteção de Dados, é o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
• LGPD: Lei Geral de Proteção de Dados, Lei nº 13.709/2018 que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
• Dado Pessoal: toda informação que, sozinha ou em conjunto com outras informações, identifica ou pode identificar uma pessoa física. A pessoa jurídica, de acordo com os preceitos da LGPD, não é titular de dados pessoais, portanto, esse regime legal não alcança os dados de empresas.
• Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.
• Dados Anonimizados: dados que não são capazes de identificar uma pessoa física. Para tanto, é preciso garantir que não seja possível reverter o processo de anonimização e, assim, voltar a identificar as pessoas às quais os dados se referem. Para esta análise, deve-se considerar utilização de meios técnicos razoáveis e disponíveis no momento do tratamento de dados.
• Dados Pseudonimizados: dados pessoais relativos a uma pessoa física que só são capazes de identificar essa pessoa através do uso de informações adicionais mantidas separadamente.
• Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
• Tratamento: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
• Tratamento automatizado: qualquer operação de tratamento realizada exclusivamente por meio de sistemas (ou seja, sem a interferência humana) para fins de geração do perfil de determinado titular.
• Agentes de Tratamento: Controlador e Operador.
• Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
• Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador.
• Encarregado: pessoa indicada para atuar como canal de comunicação entre a Carpenter Marsh, os titulares dos dados pessoais e a ANPD. Muitas vezes, o Encarregado é também chamado de DPO, sigla para o termo correspondente em inglês: Data Protection Officer (Diretor de Proteção de Dados, em tradução livre).
• Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
• Incidente de Segurança de Dados: acesso não autorizado e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento ilícito ou inadequado.
• ·Carpenter Marsh ou Companhia: Carpenter Marsh FAC Brasil Corretora de Resseguros Ltda, com sede na Av. Doutor Chucri Zaidan, S/N, Conj. 271 e 272 - andar 27, Conj. 281 e 282 - andar 28, torre B, empreed. EZ Towers, CEP 04.593-110, Vila Cordeiro, São Paulo, SP.
• MMC: Grupo Marsh & McLennan Companies.
• LCPA: Departamento Legal, Compliance e Relações Públicas.

1.2. Princípios Gerais da Proteção de Dados

É preciso garantir que as disposições da LGPD sejam sempre observadas nas operações de tratamento de dados realizadas pela Carpenter Marsh Fac atualmente em curso ou que serão colocadas em prática futuramente.

Dessa forma, sempre que forem envolvidos direta ou indiretamente em atividades de tratamento de dados pessoais, nossos colaboradores e administradores são orientados a seguir os seguintes princípios da proteção de dados pessoais:

• Finalidade: qualquer tratamento de dados pessoais deve ser realizado para uma finalidade legítima, específica, explícita e informada ao titular, sem que haja tratamento posterior que venha a ser incompatível com essas finalidades inicialmente previstas;
• Adequação: o tratamento dos dados deverá ser compatível com as finalidades informadas ao titular;
• Necessidade: somente os dados pessoais que forem estritamente necessários para atingir a finalidade determinada devem ser tratados;
• Livre acesso: os titulares devem ter a possibilidade de fazer consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais (em contextos de incidentes de segurança, por exemplo);
• Qualidade dos dados: deve ser garantido aos titulares que seus dados pessoais serão tratados com exatidão e clareza e que os dados pessoais estarão atualizados;
• Transparência: deve ser garantido aos titulares o acesso a informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os agentes de tratamento envolvidos na atividade;
• Segurança: as atividades de tratamento deverão ser realizadas adotando as medidas técnicas e administrativas suficientes a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão (ou seja, de incidentes de segurança relacionados aos dados pessoais);
• Prevenção: será necessária a adoção de medidas aptas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
• Não discriminação: nenhuma operação de tratamento poderá ser realizada para fins discriminatórios ilícitos ou abusivos; e
• Responsabilização e prestação de contas: será necessário conseguir demonstrar que medidas eficazes de segurança da informação e de observância e cumprimento das normas de proteção de dados pessoais, são de fato adotadas e eficazes nas atividades da empresa.

1.3. Direitos dos Titulares

A LGPD garante uma série de direitos e garantias aos titulares de dados pessoais, que podem ser exercidos a requerimento do titular. Dentre eles, são elencados a seguir alguns dos principais direitos previstos na LGPD:

• Direito de Confirmação da Existência de Tratamento: Solicitar que confirmemos se dados pessoais sobre o titular estão sendo tratados.
• Direito de Acesso: Solicitar a divulgação ou a concessão de acesso, de forma clara, adequada e ostensiva, às informações referentes a tratamento de dados, tais como dados pessoais específicos que temos sobre eles, a finalidade do tratamento, o período pelo qual os dados serão armazenados, e informações sobre os terceiros com quem as compartilhamos.
• Direito de Correção: Solicitar a correção de qualquer dado incorreto, incompleto ou desatualizado que tenhamos sobre o titular.
• Direito de Bloqueio: Solicitar que deixemos de tratar os dados pessoais do titular. Isso é possível somente em situações em que os dados pessoais em questão sejam considerados desnecessários, excessivos ou tratados em descumprimento das disposições da LGPD.
• Direito de Exclusão: Solicitar a exclusão de quaisquer dados pessoais sobre o titular que tenhamos coletado. Isso é possível somente em situações em que os dados pessoais em questão sejam coletados mediante o consentimento do titular ou se esses dados forem considerados desnecessários, excessivos ou tratados em descumprimento das disposições da LGPD. 
• Direito de Informação: Solicitar informações sobre entidades públicas e privadas, se houver, com as quais compartilhamos seus dados pessoais, e informações sobre a possibilidade de recusar o consentimento e as consequências dessa recusa.
• Direito de Revogação do Consentimento: Solicitar, por meio de procedimento livre e facilitado, que, a partir do momento da revogação do consentimento, deixemos de tratar quaisquer dados com os quais o titular tenha consentido anteriormente.
• Direito de Revisão de Decisões Baseadas em Tratamento Automatizado: Solicitar o fornecimento de informações claras e adequadas referentes aos critérios e procedimentos usados para gerar uma decisão que tenha sido tomada exclusivamente com base em tratamento automatizado dos dados pessoais do titular.

2.  CARPENTER MARSH FAC COMO CONTROLADORA:

2.1. Escopo da posição de Controlador

À medida em que cabe ao Controlador a tomada de decisões com relação à forma e à finalidade do tratamento dos dados pessoais, entendemos que atuamos como controladores dos dados na relação com seus (i) candidatos em processos de recrutamento e seleção e com seus (ii) colaboradores. Ainda, atuaremos como controladores em hipóteses específicas das relações comerciais da Carpenter Marsh Fac, por exemplo, no âmbito de (iii) atividades de comunicação institucional, quando cabível, e na (iv) contratação de prestadores de serviços, a depender do caso concreto.

Como resultado dessa posição, a Carpenter Marsh Fac terá uma série de obrigações específicas com seus colaboradores e parceiros, bem como com a Autoridade Nacional de Proteção de Dados (“ANPD”), conforme será apresentado em detalhes no Item 2.2. abaixo.

2.1.1. Processos de Recrutamento e Seleção

Para candidatar-se a uma vaga de estágio ou emprego alguns dados pessoais poderão ser solicitados, cabendo à Carpenter Marsh coletar o menor volume de dados necessários para atingir à finalidade dos Processos de Recrutamento.

Nesse contexto, os dados serão tratados com base no legítimo interesse da Carpenter Marsh (e em atenção às legítimas expectativas dos candidatos), sendo assegurado que a Companhia não se vale desses dados para fins discriminatórios ilícitos ou para limitação de acesso a suas vagas.

Caso o candidato não seja contratado, a Companhia poderá manter o currículo e demais informações no banco de talentos para futuros processos seletivos, desde que o candidato tenha expressamente consentido para essa finalidade específica. Caso contrário, a Companhia deverá eliminar os dados pessoais coletados, ressalvadas as hipóteses de obrigação legal de conservar tais documentos.  

2.1.2. Relações Trabalhistas

Os colaboradores cujos contratos de trabalho são anteriores ao mês de agosto/2020, participaram no referido mês de um treinamento específico sobre a LGPD e receberam também por email naquela ocasião o Aviso Interno de Privacidade, por meio do qual a Carpenter Marsh detalha com total transparência como efetua o tratamento de dados pessoais de seus colaboradores e estagiários, por si e por terceiros por ela contratados. Esse documento é aplicável a todos e está disponível no link acima.

Os contratos de trabalho posteriores a agosto/2020 já estão adaptados à LGPD com a inclusão do Termo de Proteção de Dados Pessoais como seu anexo.

Para fins de legitimar o tratamento dessas informações, a Companhia coleta os dados de seus colaboradores para diferentes finalidades, o que se faz necessário seja para o cumprimento do contrato de trabalho com cada titular ou ainda para o cumprimento de obrigações legais e regulatórias na seara trabalhistas. É possível ainda que haja o tratamento de dados para a persecução do legítimo interesse da Carpenter Marsh (como no momento em que colaboradores em cargos de liderança compartilham seus dados para a assinatura de documentos) ou também com fundamento no consentimento do titular, conforme necessário.

Vale lembrar que todos os colaboradores da Carpenter Marsh detém os mesmos direitos sobre seus dados pessoais que as outras pessoas físicas que interajam com a Carpenter Marsh enquanto titulares.

À medida em que os dados pessoais dos colaboradores da Companhia são tratados no âmbito do seu contrato de trabalho ou em outros contextos relacionados ao seu vínculo com a Carpenter Marsh, esses indivíduos também estarão sujeitos às garantias e direitos elencadas neste Guideline e nas demais Políticas Internas da Carpenter Marsh. 

2.1.3. Comunicação Institucional  

Considerando o contexto de atividades de comunicação institucional com seus clientes a partir de reportes institucionais (ou seja, em contextos informativos não estritamente relacionados ao objeto do contrato que os une), é possível que haja o tratamento de dados pessoais de representantes e/ou colaboradores destas empresas pela Carpenter Marsh Fac. Nestes cenários, em específico, a Companhia figura como Controladora dos dados pessoais destes indivíduos).

Vale ressaltar que comunicações nesse sentido devem ser limitadas a clientes ou parceiros comerciais que já tenham uma prévia relação com a Carpenter Marsh Fac ou que tenham expressamente solicitado o acesso ao conteúdo em questão (com a inscrição em mailing lists, por exemplo). De todo modo, na hipótese em que algum destinatário opte por não mais receber estes reportes ou mensagens (seja por ferramentas específicas de “opt-out” ou pela simples comunicação nesse sentido), é importante que a Carpenter Marsh Fac atenda à escolha realizada e remova seu contato da lista de mailing da Companhia.

Ainda, caso seja encaminhada a mesma mensagem para um grupo de destinatários, é importante assegurar o sigilo dos dados dos envolvidos a partir do envio das comunicações institucionais para estes titulares com “cópia oculta” nas ferramentas de e-mail.

2.1.4. Contratos Corporativos

Na gestão de seus contratos corporativos, Carpenter Marsh figura na posição de Controladora dos dados pessoais dos representantes dos fornecedores e prestadores de serviços que venham a se relacionar com a Companhia em função da contratação em questão. Neste contexto, o tratamento de dados pessoais pela Carpenter Marsh é realizado para diferentes finalidades relacionadas a estes contratos, tais como para viabilizar o cadastro dos titulares em sistemas da Companhia, o acesso às suas ferramentas e estabelecimentos, dentre outros.

Os contratos corporativos em vigor antes da LGPD já foram devidamente aditados para a inclusão de cláusulas e disposições de proteção de dados pessoais conforme a LGPD. Para novos fornecedores e prestadores de serviços, após a avaliação técnica de segurança da informação e aprovação pela equipe de Cyber Security, os contratos com eles firmados pela Companhia também terão disposições referentes à proteção de dados pessoais, cujo rigor da redação irá depender da complexidade da contratação e de eventual necessidade de trâmite de dados pessoais entre as empresas.

2.1.5. Cautelas gerais para as atividades de tratamento

Para fins de sintetizar os principais cuidados da Carpenter Marsh na gestão dos dados pessoais dos seus colaboradores e candidatos, vale ressaltar:

·       Todo o tratamento de dados pessoais de candidatos e colaboradores será realizado de acordo com o Aviso Interno de Privacidade apresentado aos titulares, e será limitado ao cumprimento das finalidades especificadas;

·       A Carpenter Marsh preza pela coleta da menor quantidade possível de dados pessoais que forem necessários para atender às finalidades especificadas;

·       Os dados coletados dos candidatos ou empregados não serão transferidos, vendidos, alugados ou divulgados de forma diferente do indicado no Aviso Interno de Privacidade;

Quando algum dado pessoal deixar de ser necessário e a Carpenter Marsh não tiver mais a obrigação legal de armazená-lo, estas informações serão excluídas, destruídas ou anonimizadas.

2.2. Obrigações específicas do Controlador

Na posição de Controladora dos dados dos seus colaboradores e candidatos de processos seletivos, a Carpenter Marsh se atenta a algumas obrigações específicas que recaem sobre os agentes de tratamento nessa posição.

Dentre estes aspectos, cabe à Carpenter Marsh:

I. Garantir a transparência devida com titulares

A fim de assegurar que os titulares terão o poder de exercer seus direitos e de controlar o fluxo de seus dados (ou seja, de escolher até onde é possível que haja o tratamento de suas informações pessoais), é importante que a carpenter marsh seja transparente com esses indivíduos a respeito do escopo do tratamento que é dado aos sue dados pessoais.

Nesse sentido, na forma de aviso interno de privacidade apresentado pela carpenter marsh, os candidatos e colaboradores têm acesso facilitado às informações sobre:

·       A finalidade específica do tratamento;

·       A forma e duração do tratamento;

·       A identificação da carpenter marsh; e

·       As informações acerca do uso compartilhado de dados pelo controlador e a finalidade;

II. Assegurar o atendimento às solicitações dos titulares

Os direitos do titular serão exercidos pelos empregados, ex-empregados e candidatos mediante requerimento expresso ao Controlador, sendo que as providências necessárias para o exercício destes direitos deverão ser adotadas, preferencialmente, de forma imediata pela Carpenter Marsh.

Caso isso não seja possível, a Carpenter Marsh enviará ao titular resposta em que poderá: (i) comunicar que não é o agente de tratamento dos dados e indicar a identidade do agente aplicável sempre que possível; ou (ii) indicar as razões de fato ou de direito que impedem a adoção imediata da providência.

Com o intuito de assegurar a implementação destes protocolos, toda solicitação recebida pela Carpenter Marsh deverá ser direcionada por escrito à equipe de Proteção de Dados para o e-mail  privacidade@carpentermarsh.com (departamento competente, no caso, para o encaminhamento das demandas em questão). Para mais detalhes sobre a forma de resposta às solicitações dos titulares referente ao exercício dos direitos acima mencionados, verifique a Seção 1.3 acima.

III. Notificar a ANPD e os titulares afetados na hipótese de incidente de segurança

Para evitar violação a Dados Pessoais, como previsto em sua Política de Uso Adequado das Informações, a Carpenter Marsh adotará medidas de segurança aptas para garantir a proteção dos dados pessoais em seu controle contra situações acidentais, ilícitas e acessos não-autorizados (“Incidentes de Segurança”).

Na hipótese de ocorrência de Incidente de Segurança, de todo modo, conforme necessário, cabe à Carpenter Marsh proceder com a comunicação à ANPD e aos titulares afetados com o incidente. Conforme delineado no Guia de Notificação já elaborado pela ANPD, a comunicação deverá conter uma série de informações tais como:

·       Descrição da natureza dos dados afetados;

·       Titulares envolvidos;

·       Medidas técnicas e de segurança utilizadas para a proteção dos dados;

·       Riscos relacionados ao incidente;

·       Medidas adotadas para reverter ou mitigar os efeitos do prejuízo causado pelo incidente; e

·       O motivo da demora, no caso de a comunicação não ter sido imediata.

Para mais detalhes sobre a gestão de incidentes de segurança, não deixe de verificar a Seção 4.1 abaixo.

3.  CARPENTER MARSH FAC COMO OPERADORA:   

Relações no mercado de seguros e resseguros

O setor de seguros e resseguros é baseado em dados, tamanha é a importância deles na nossa atividade. Por isso, é fundamental reforçar a proteção dos dados pessoais que transitam no nosso meio corporativo enquanto desempenhamos nossa principal atividade, qual seja, a de intermediação de contratos de resseguro.

3.1. Escopo da posição de Operador

A Carpenter Marsh sempre prezou pela confidencialidade e proteção das informações de seus clientes, por meio de políticas e procedimentos adequados de modo a garantir a máxima cautela no manuseio de informações de negócios conforme podemos verificar na Política de Uso Adequado de Informações.

Na qualidade de corretora de resseguros, para o exercício de nossas atividades de intermediação de contratos de resseguro, tanto na sua colocação/renovação quanto na administração das transações financeiras fiduciárias relativas a esses negócios, somos Operadores de dados pessoais, atuando, portanto, de acordo com as instruções dos controladores que são, na maioria das vezes, as seguradoras (cedentes), e, em algumas situações, os resseguradores.

Na prestação de serviços de consultoria técnica em resseguros, como regra geral, não haverá o tratamento de dados pessoais. De todo modo, na hipótese em que estas informações pessoais venham a ser coletadas ou processadas no dia a dia das atividades em questão, as orientações gerais desse Guideline devem ser observadas e, eventuais questionamentos específicos devem ser, imediatamente, direcionados ao Departamento de Proteção de Dados da Carpenter Marsh.

Para fins de assegurar a legitimidade das atividades de tratamento da Carpenter Marsh no contexto da corretagem de resseguros, as seguradoras e resseguradores controladores declaram e garantem que, no âmbito dos contratos de resseguro intermediados pela Carpenter Marsh:

·       Reconhecem a posição da Carpenter Marsh como Operadora dos dados pessoais que serão compartilhados nesse contexto;

·       Os dados pessoais transmitidos para a Carpenter Marsh foram coletados em atenção às garantias estabelecidas da LGPD, com fundamento e legitimação em base legal específica prevista nesta norma;

·       As instruções fornecidas serão lícitas (considerando o contexto contratual, legislativo e regulatório aplicável) e limitadas à necessidade de persecução da finalidade do contrato;

O tratamento de dados realizado pela Carpenter Marsh se dará nos limites delineados pelos Controladores, ressalvada a autonomia técnica assegurada à Companhia na posição de Operadora.

3.1.1. Contratos de Resseguro

Na colocação de um novo resseguro, em um processo de renovação do resseguro, ou ainda durante a vigência do resseguro, devemos avaliar se a linha de negócio que está sendo trabalhada pela Carpenter Marsh demanda o trâmite de dados pessoais. E sempre que houver o trâmite de dados pessoais, devemos reforçar a proteção desses dados.

Na hipótese de transferência de dados pessoais sensíveis, a legislação de proteção de dados aplicável exige que esta categoria específica de informações pessoais demande maior grau de proteção para evitar potenciais danos para os titulares (em função do maior potencial discriminatório que pode derivar do seu tratamento).

O primeiro passo para o broker é verificar com o cliente se há necessidade de dados pessoais para a negociação. Em caso positivo, o cliente deve ser orientado a transmitir o mínimo necessário de dados pessoais e se possível protegido por senhas. Em caso negativo, o cliente  deverá enviar para a Carpenter Marsh dados anonimizados.

Assim, ao iniciarmos as tratativas prévias à colocação de resseguro, a Carpenter Marsh deverá recomendar aos seus clientes que avaliem a real necessidade de envio e transmissão de dados pessoais aos resseguradores. Havendo necessidade, o mais alto grau de controle e proteção desses dados deverá ser implementado por todos os envolvidos.

Vale ressaltar que na hipótese em que a cotação não é aceita pelas partes (e, portanto, o contrato de resseguro não é celebrado por intermediação da Carpenter Marsh), a Companhia observará as cautelas do Item 3.1.3 abaixo (em específico seu sub-item “D”), devendo eliminar todos os dados pessoais coletados que não venham mais a ser necessários para a Carpenter Marsh diante do término do relacionamento com o potencial cliente.

Em sendo aceito o risco e contratado o resseguro, no curso da vigência da relação contratual e até o término das nossas obrigações enquanto broker, também devemos orientar aos clientes que transmitam à Carpenter Marsh, preferencialmente, dados de forma anonimizada ou,  se personalizados, com proteção por senha, caso tais dados pessoais sejam necessários para a administração, gestão de risco e execução do próprio contrato de resseguro ou de seguro garantido pelo resseguro, como ocorre durante uma regulação de sinistros, por exemplo, ou, mesmo em razão de uma exigência regulatória ou judicial.

Na hipótese de compartilhamento de dados pessoais com a Carpenter Marsh, a Companhia tratará as informações recebidas em atenção às estritas instruções da seguradora e/ou do ressegurador, conforme os limites delineados nos Itens 3.1.3 (em específico seu sub-item “C”) e 3.2 abaixo.

3.1.3. Cautelas gerais para as atividades de tratamento

Considerando a posição de Operador da Carpenter Marsh no contexto da intermediação de contratos de resseguro, alguns cuidados específicos deverão ser seguidos:

I.      Origem legítima dos dados: Garantias Contratuais

Independentemente da linha de negócio a ser intermediada pela Carpenter Marsh, ao recebermos a minuta do contrato de resseguro do cliente, além da verificação das cláusulas obrigatórias específicas da SUSEP e das cláusulas negociais aplicáveis, o broker deve verificar se há alguma disposição relativa à proteção de dados pessoais. Em não havendo, a Carpenter Marsh deverá recomendar que seja inserida uma cláusula nesse sentido compatível com a complexidade do negócio.

Nesse sentido, entre os principais aspectos previstos na Cláusula de Proteção de Dados Pessoais em questão, a Carpenter Marsh deverá recomendar a seus clientes e parceiros que sejam inseridas:

·       As obrigações de ambas as partes enquanto Controladora/Co-Controladora ou Operadora de dados;

·       A garantia de adoção de medidas de segurança da informação (por ambas as partes) para a proteção dos dados compartilhados;

·       A gestão de incidentes de segurança que venham a ocorrer;

·       O sistema de indenização e responsabilização entre as partes em função de incidentes de segurança ou da violação desta cláusula; dentre outros.

Por sua vez, no que diz respeito ao contrato firmado entre a Carpenter Marsh e seus clientes (“Termos e Condições dos Serviços Prestados” ou “TOBA”), a Companhia estabelecerá Cláusula de Proteção de Dados Pessoais para fins de garantir:

·       A definição da posição de Operadora da Carpenter Marsh quanto ao tratamento dos dados compartilhados pelos clientes no âmbito desta relação contratual;

·       A responsabilidade do cliente, enquanto Controlador, pelo compartilhamento de dados pessoais que tenham sido coletados em conformidade com as exigências da legislação de proteção de dados aplicável;

·       A limitação dos clientes em apresentar exclusivamente instruções lícitas e adequadas para que a Carpenter Marsh possa cumprir com as exigências da posição de Operadora; dentre outros aspectos.

Vale ressaltar que estas garantias serão aplicáveis também nas demais hipóteses em que a Companhia venha a figurar como Operadora no tratamento de dados pessoais, o que ocorrerá, por exemplo na relação entre a Carpenter Marsh e resseguradores. Neste contexto específico, ainda que não haja a celebração do referido TOBA, instrumentos semelhantes serão celebrados a fim de assegurar a aplicabilidade das premissas acima no âmbito da intermediação (mesmo que, de forma extracontratual, a partir da concordância com estas premissas por email, ou ainda, com a inclusão de adendo específico de Proteção de Dados Pessoais nas Ofertas apresentadas pela Carpenter Marsh, por exemplo).

II.              Segurança da Informação

Adoção de ferramentas de encriptação

É recomendável ainda o uso da ferramenta de encriptação nos emails que contenham dados pessoais de terceiros, bem como o envio de arquivos protegidos por senhas, as quais devem ser enviadas em mensagens separadas ou ainda utilizando-se de sistemas de carregamento de documentos via nuvem, desde que com login e senha de usuário.

Gestão de e-mails suspeitos

Na hipótese de recebimento de e-mail inesperado (especialmente um com links ou anexos), os colaboradores deverão informar o Departamento de TI sobre o caso para que seja feita a devida avaliação dos riscos envolvidos. Para comunicar um possível e-mail de phishing, utilize o botão “Report Phishing” no Outlook, ou reencaminhe o e-mail como anexo para phishing@mmc.com

Segurança no compartilhamento de dados

Antes do envio de documentos, é importante não apenas verificar e validar as informações de contato do destinatário (a fim de evitar o vazamento acidental de dados), como também utilizar soluções aprovadas pela empresa para partilhar informação externamente. Ainda, ao compartilhar informações confidenciais ou restritas, é recomendável que os documentos sejam encriptados para fins de envio. Para mais detalhes sobre estas medidas de segurança da Carpenter Marsh, consulte a “Política de Uso Adequado das Informações” da Companhia.

Limite de acesso aos dados tratados

Na medida do possível, os dados pessoais recebidos de clientes deverão circular dentro da Companhia de forma restrita à equipe da Carpenter Marsh, em específico, entre os colaboradores diretamente envolvidos no processo de cotação e contratação do resseguro. Dessa forma, em ambientes de redes compartilhadas, é importante que sejam aplicadas restrições de acesso a arquivos ou pastas sensíveis, estas que devem ser revisadas com regularidade para garantir que apenas os colaboradores autorizados possam editar, visualizar, ou compartilhar estes documentos.

Na hipótese de compartilhamento de dados pessoais para terceiros, as informações pessoais deverão ser transmitidas de acordo com as instruções dos clientes apenas (i) aos contatos dos resseguradores envolvidos na cotação/contratação de resseguro; e (ii) uma vez contratado o resseguro, às partes por eles indicadas, como um regulador de sinistros, por exemplo.

III.            Retenção limitada de Dados Pessoais

Em regra, dados pessoais devem ser eliminados após o término do seu tratamento. Nesse sentido, os dados pessoais recebidos de clientes serão armazenados nas bases de dados da Carpenter Marsh somente enquanto forem necessários para a execução de suas atribuições no curso da relação comercial em questão, ou conforme exigido para fins de cumprimento de suas obrigações legais ou regulatórias.

Para melhor assegurar o controle e a gestão desse fluxo de eliminação de dados, a Carpenter Marsh segue os protocolos, os parâmetros de retenção de dados pessoais e os prazos legais aplicáveis, conforme consolidado nos “Anexos de Retenção de Registros” previstos na “Política de Uso Adequado das Informações” da Companhia.

3.2. Limites da posição de operador

Considerando que a posição de Operador enseja uma série de restrições específicas frente às exigências do Controlador, é importante observar em que medida a Carpenter Marsh permanece enquadrada sob este manto de “Operadora de Dados”.

Dessa forma, ressaltamos:

·       Todo o tratamento de dados pessoais deve se limitar às instruções da Controladora, ressalvados os limites de autonomia técnica do Operador para a escolha das ferramentas e operacionais necessárias para viabilizar os comandos recebidos (com a seleção de sistemas específicos para suas atividades, por exemplo);

·       Na hipótese de uso dos dados pessoais recebidos para finalidades alheias à operação prevista no Contrato (para fins de análises diversas da Carpenter Marsh ou para a busca de novas oportunidades de negócios a partir do cruzamento dos dados recebidos com demais informações de sua base), a Companhia será tida como Controladora dos Dados Pessoais usados para esses fins, aplicando-se a ela as obrigações previstas no Item 2.2. acima.

·       A título exemplificativo, os dados recebidos dos clientes poderão ser transmitidos sem instruções específicas dos clientes nas situações excepcionais em que Carpenter Marsh passa a figurar enquanto Controladora em operações específicas (tais como para o cumprimento de exigência legal ou regulatória incidente sobre si ou ainda para o exercício regular de seus direitos frente a exigência judicial ou regulatória).

4.  GESTÃO DE INCIDENTES

4.1. Procedimentos e cautelas

Diante do risco inerente de ocorrência de Incidentes de Segurança, os agentes de tratamento de dados devem adotar medidas de segurança aptas a proteger os dados pessoais sob seu controle, o que inclui as medidas técnicas, administrativas e operacionais pertinentes. 

Nesse sentido, para manter o sigilo e confidencialidade das informações pessoais e assim impedir o acesso não autorizado ou o tratamento ilegal decorrente de eventuais incidentes, a Carpenter Marsh limita o acesso a dados pessoais exclusivamente aos colaboradores ou a terceiros prestadores de serviços que precisem destas informações para cumprir com as exigências de seus cargos ou funções.

Em complemento, a empresa segue as regras específicas de segurança da informação previstas na “Política de Uso Aceitável de Informações da Empresa e de Tecnologia”, estas que são reforçadas para os colaboradores por meio de treinamento sobre privacidade e segurança da informação. Caso algum incidente de segurança aconteça, procedimentos internos específicos deverão ser adotados, conforme indicado no documento “Procedimento Unificado de Análise de Incidentes”.

Comunicação de Incidentes

Os incidentes envolvendo tratamento de dados pessoais na Companhia deverão ser direcionados equipe de LCPA através do preenchimento do formulário LGPD na plataforma OneTrust.

Em caso de dúvidas, contatar privacidade@carpentermarsh.com, que é o departamento competente para análise do caso, condução das investigações, adoção das medidas de remediação e/ou salvaguarda, bem como para a divulgação das respostas aos incidentes.

4.2. Penalidades e Responsabilização

A regra geral da LGPD é que controlador ou operador que causar algum dano (patrimonial, moral, individual ou coletivo) a outra pessoa no exercício da atividade de tratamento de dados pessoais, violando a legislação de proteção de dados (caso haja um incidente de segurança, por exemplo), fica obrigado a repará-lo. Mesmo que a LGPD determine algumas situações nas quais as regras de responsabilidade dos agentes de tratamento não se aplicam (por exemplo, quando provar que o dano decorreu de culpa exclusiva do titular dos dados ou de um terceiro), existem diferentes cenários em que o controlador e/ou operador podem ser responsabilizados por suas operações de tratamento de dados.

Nestes casos, a empresa tem dever de indenizar o titular cujos direitos foram violados, e poderá estar sujeita às sanções administrativas aplicadas pela ANPD, como multa de até 2% do faturamento da empresa (limitada, no total, a R$ 50.000.000,00 por infração) ou o bloqueio dos dados pessoais a que se refere a infração até a sua regularização, quando o capítulo de sanções da LGPD estiver vigente (após 1º de agosto de 2021). Além de sanções aplicadas pela ANPD, a depender do caso concreto, a Carpenter Marsh poderá estar sujeita ao pagamento de indenizações judiciais e/ou à imposição de multa por parte de outros órgãos da administração pública, como a SUSEP, por exemplo.

Para evitar que a Carpenter Marsh enfrente esses cenários, que podem prejudicar tanto sua imagem e reputação, quanto sua saúde financeira, é necessário que os colaboradores sigam com atenção o previsto neste Guideline e nos documentos relacionados à proteção de dados, em especial, a “Política de Uso Adequado de Informações”, que orienta os cuidados a serem tomados pelos colaboradores.

5.  CULTURA DE PRIVACIDADE

5.1. Princípios de Privacy by Design

Privacidade desde a concepção (ou “Privacy by Design”) significa adotar medidas técnicas e organizacionais adequadas para garantir que, por padrão, as regras da LGPD sejam seguidas desde o início das atividades da empresa, sejam quais forem. Isso inclui tanto a necessidade de seguir os princípios da lei, indicados anteriormente, quanto conscientizar os colaboradores para que a preocupação com privacidade esteja sempre presente.

Assim, os colaboradores da Carpenter Marsh devem se esforçar para adotar uma postura proativa com os cuidados com dados pessoais, e não uma postura reativa de atuação em face de incidentes de segurança. Da mesma forma, o cuidado com dados pessoais deve ser preventivo, e não somente corretivo; o respeito pela privacidade do titular deve sempre ser uma preocupação, que se reflete também na segurança durante o tratamento das informações. Ou seja, é importante assegurar que os dados pessoais serão protegidos em máxima medida, de forma padrão, do começo ao fim.

Sendo assim, parte do processo de estruturação de novas práticas pela empresa deve, necessariamente, passar pela análise da LGPD e adotar todos os cuidados aplicáveis para evitar qualquer excesso nos tratamentos, levando em conta as seguintes diretrizes:

·       Postura proativa e não reativa; Preventiva e não corretiva: É necessário antecipar possíveis situações que possam violar Dados Pessoais dos Titulares antes que esses incidentes ocorram. Assim, é importante prever as consequências de qualquer Tratamento de Dados Pessoais, para identificar possíveis problemas e preveni-los antes da materialização;

·       Privacidade como Padrão: Garantir a maior proteção possível aos Dados Pessoais, como padrão de conduta. Ou seja, a regra geral deve ser o nível máximo de proteção dos Dados Pessoais, o que pode ser feito a partir da implementação de restrições de acesso, da limitação da coleta apenas aos Dados Pessoais indispensáveis e da utilização dos Dados Pessoais apenas para os fins especificados nesta política;

·       Privacidade incorporada ao Design: Ao desenvolver novos produtos, projetos ou tomar qualquer iniciativa nova, a proteção de dados deve ser um componente essencial e indissociável desse novo material;

·       Funcionalidade Total: A proteção de dados não deve ser vista como um obstáculo para a criação de novos materiais, mas como uma característica inerente a eles. Sendo assim, é necessário buscar formas de realizar processos e atividades corporativas de maneira a ter a proteção dos dados pessoais como aliada;

·       Segurança de ponta-a-ponta e proteção durante todo o ciclo de vida dos dados: Deve ser estruturado o gerenciamento seguro de todos os Dados Pessoais em posse da Carpenter Marsh, ao longo de todo o ciclo de vida desses Dados Pessoais (ou seja, desde sua coleta, até a eliminação). Em outras palavras, não deve haver lacuna na proteção dos dados nem na prestação de contas;

·       Visibilidade e Transparência: Transparência, diligência e compliance são fundamentais para cumprir com a LGPD e criar uma relação de confiança com os Titulares. É importante que todos os colaboradores da Carpenter Marsh sigam diligentemente as políticas internas que regulam o Tratamento de Dados Pessoais e ajam com transparência com relação às suas atividades;

·       Respeito pela Privacidade do Titular: Todos os colaboradores da Carpenter Marsh devem prezar pelos interesses dos Titulares dos Dados Pessoais e respeitar as estruturas internas criadas para que esses Titulares consigam exercer seus direitos de forma simples e eficiente.

A partir dos conceitos e princípios indicados até aqui, é possível verificar que o cuidado com Dados Pessoais é importantíssimo e deve estar situado dentre as principais preocupações da Carpenter Marsh.

Destacamos abaixo algumas perguntas que podem ser feitas antes de uma atividade de tratamento de dados ser realizada:

·       Qual a finalidade da atividade?

·       Dados pessoais são realmente necessários para atingir a finalidade? Quais dados pessoais são imprescindíveis para isso?         

·       Existem dados/atividades em excesso ou a atividade já envolve a menor quantidade possível de dados pessoais e de operações com dados pessoais?

5.2. Atualização de Registros

Uma das exigências da LGPD para qualquer atividade de tratamento de dados realizada é a manutenção de registro destas operações. Nesse sentido, é necessário que os colaboradores responsáveis pelos registros das atividades realizadas com dados pessoais (por vezes chamadas pelo termo em inglês - Records of Data Processing Activity - “ROPA”) atualizem essas informações sempre que houver qualquer mudança nas operações de tratamento da Carpenter Marsh ou ainda a instituição de novas atividades de tratamento não mapeadas previamente.

5.3. Capacitação Permanente de Colaboradores

O programa de treinamentos obrigatórios da Carpenter Marsh engloba a capacitação e comunicação aos colaboradores dos temas relativos à privacidade e proteção de dados pessoais.

Todos os novos colaboradores receberão no primeiro mês após sua admissão um treinamento específico sobre a LGPD e questões correlatas. Ainda, independentemente da data de admissão, receberão um reforço ou reciclagem desse treinamento anualmente, o qual também incluirá eventuais atualizações necessárias relativas à LGPD.

5.4. Auditoria Anual

Para fins de avaliação de maturidade do seu Programa de Privacidade, os processos de adequação à LGPD, bem como os controles implementados para a proteção de dados pessoais na Carpenter Marsh farão parte do escopo do programa anual de auditoria interna, podendo esta ser conduzida tanto pela equipe do grupo MMC, quanto por uma empresa terceirizada especializada.

5.5. Encarregado de Proteção de Dados

O grupo MMC no Brasil optou por nomear um único Encarregado para todas as empresas, podendo ser uma pessoa exclusiva para essa posição ou não, desde que não haja prejuízo de suas atividades regulares e que não tenha conflito de interesses, de forma que possa exercer esse papel com independência. A posição de Encarregado é atualmente ocupada pela Sra Tatiana Barreto (tatiana.barreto@marsh.com). A Companhia comunicará a todos sempre que houver mudança de Encarregado. 

5.1. Política PLD CMF 

Visando à promoção de cultura organizacional de prevenção e combate à lavagem de dinheiro, financiamento ao terrorismo,  as normas internas de PLD/FT estão sendo amplamente divulgadas aos Colaboradores, Parceiros e Prestadores de Serviços terceirizados por meio da disponibilização digital.

Esta Política se aplica a todos os Colaboradores, Parceiros e Prestadores de Serviços, que deverão observá-la ao se relacionarem com Clientes, Terceiros e demais Partes Relacionadas.

A presente Política PLD/FT integra o sistema corporativo de Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo e está associada aos seguintes documentos: (i) Código de Ética e Conduta: The Greater Good; (ii) Matriz de Identificação, Medição e Avaliação de Riscos de Lavagem de Dinheiro e Financiamento ao Terrorismo (LD/FT) da CMF Brasil.

6.  CONTATO ATUALIZAÇÕES

6.1. Histórico de Versões e Atualização

Com base no mapeamento de suas atividades e operações que envolvem o tratamento de dados pessoais, a Carpenter Marsh elaborou este documento para a orientação dos nossos colaboradores. Como o mapeamento é atualizado constantemente, havendo qualquer alteração relevante que demande alguma providência por parte de nossos colaboradores e administradores, referida alteração será devidamente comunicada e os devidos controles serão implementados.

Esta é a 1ª versão deste Guideline, aprovado pela Diretoria em 2022, sendo que este documento deverá ser revisado, aperfeiçoado e atualizado anualmente ou antes disso, sempre que houver alguma alteração relevante. Da mesma forma se procederá em relação ao mapeamento das atividades e operações que envolvem o tratamento de dados pessoais, aos avisos de privacidade e políticas locais.

6.2. Formas de Contato para Dúvidas e Denúncias

Os Colaboradores poderão entrar em contato com seus gestores, ou através do endereço de e-mail privacidade@carpentermarsh.com, caso tenham dúvidas, sugestões, denúncias ou solicitações referentes às políticas e/ou procedimentos sobre a privacidade e proteção de dados pessoais.