3. CARPENTER MARSH FAC COMO OPERADORA:
Relações no mercado de seguros e resseguros
O setor de seguros e resseguros é baseado em dados, tamanha é a importância deles na nossa atividade. Por isso, é fundamental reforçar a proteção dos dados pessoais que transitam no nosso meio corporativo enquanto desempenhamos nossa principal atividade, qual seja, a de intermediação de contratos de resseguro.
3.1. Escopo da posição de Operador
A Carpenter Marsh sempre prezou pela confidencialidade e proteção das informações de seus clientes, por meio de políticas e procedimentos adequados de modo a garantir a máxima cautela no manuseio de informações de negócios conforme podemos verificar na Política de Uso Adequado de Informações.
Na qualidade de corretora de resseguros, para o exercício de nossas atividades de intermediação de contratos de resseguro, tanto na sua colocação/renovação quanto na administração das transações financeiras fiduciárias relativas a esses negócios, somos Operadores de dados pessoais, atuando, portanto, de acordo com as instruções dos controladores que são, na maioria das vezes, as seguradoras (cedentes), e, em algumas situações, os resseguradores.
Na prestação de serviços de consultoria técnica em resseguros, como regra geral, não haverá o tratamento de dados pessoais. De todo modo, na hipótese em que estas informações pessoais venham a ser coletadas ou processadas no dia a dia das atividades em questão, as orientações gerais desse Guideline devem ser observadas e, eventuais questionamentos específicos devem ser, imediatamente, direcionados ao Departamento de Proteção de Dados da Carpenter Marsh.
Para fins de assegurar a legitimidade das atividades de tratamento da Carpenter Marsh no contexto da corretagem de resseguros, as seguradoras e resseguradores controladores declaram e garantem que, no âmbito dos contratos de resseguro intermediados pela Carpenter Marsh:
· Reconhecem a posição da Carpenter Marsh como Operadora dos dados pessoais que serão compartilhados nesse contexto;
· Os dados pessoais transmitidos para a Carpenter Marsh foram coletados em atenção às garantias estabelecidas da LGPD, com fundamento e legitimação em base legal específica prevista nesta norma;
· As instruções fornecidas serão lícitas (considerando o contexto contratual, legislativo e regulatório aplicável) e limitadas à necessidade de persecução da finalidade do contrato;
O tratamento de dados realizado pela Carpenter Marsh se dará nos limites delineados pelos Controladores, ressalvada a autonomia técnica assegurada à Companhia na posição de Operadora.
3.1.1. Contratos de Resseguro
Na colocação de um novo resseguro, em um processo de renovação do resseguro, ou ainda durante a vigência do resseguro, devemos avaliar se a linha de negócio que está sendo trabalhada pela Carpenter Marsh demanda o trâmite de dados pessoais. E sempre que houver o trâmite de dados pessoais, devemos reforçar a proteção desses dados.
Na hipótese de transferência de dados pessoais sensíveis, a legislação de proteção de dados aplicável exige que esta categoria específica de informações pessoais demande maior grau de proteção para evitar potenciais danos para os titulares (em função do maior potencial discriminatório que pode derivar do seu tratamento).
O primeiro passo para o broker é verificar com o cliente se há necessidade de dados pessoais para a negociação. Em caso positivo, o cliente deve ser orientado a transmitir o mínimo necessário de dados pessoais e se possível protegido por senhas. Em caso negativo, o cliente deverá enviar para a Carpenter Marsh dados anonimizados.
Assim, ao iniciarmos as tratativas prévias à colocação de resseguro, a Carpenter Marsh deverá recomendar aos seus clientes que avaliem a real necessidade de envio e transmissão de dados pessoais aos resseguradores. Havendo necessidade, o mais alto grau de controle e proteção desses dados deverá ser implementado por todos os envolvidos.
Vale ressaltar que na hipótese em que a cotação não é aceita pelas partes (e, portanto, o contrato de resseguro não é celebrado por intermediação da Carpenter Marsh), a Companhia observará as cautelas do Item 3.1.3 abaixo (em específico seu sub-item “D”), devendo eliminar todos os dados pessoais coletados que não venham mais a ser necessários para a Carpenter Marsh diante do término do relacionamento com o potencial cliente.
Em sendo aceito o risco e contratado o resseguro, no curso da vigência da relação contratual e até o término das nossas obrigações enquanto broker, também devemos orientar aos clientes que transmitam à Carpenter Marsh, preferencialmente, dados de forma anonimizada ou, se personalizados, com proteção por senha, caso tais dados pessoais sejam necessários para a administração, gestão de risco e execução do próprio contrato de resseguro ou de seguro garantido pelo resseguro, como ocorre durante uma regulação de sinistros, por exemplo, ou, mesmo em razão de uma exigência regulatória ou judicial.
Na hipótese de compartilhamento de dados pessoais com a Carpenter Marsh, a Companhia tratará as informações recebidas em atenção às estritas instruções da seguradora e/ou do ressegurador, conforme os limites delineados nos Itens 3.1.3 (em específico seu sub-item “C”) e 3.2 abaixo.
3.1.3. Cautelas gerais para as atividades de tratamento
Considerando a posição de Operador da Carpenter Marsh no contexto da intermediação de contratos de resseguro, alguns cuidados específicos deverão ser seguidos:
I. Origem legítima dos dados: Garantias Contratuais
Independentemente da linha de negócio a ser intermediada pela Carpenter Marsh, ao recebermos a minuta do contrato de resseguro do cliente, além da verificação das cláusulas obrigatórias específicas da SUSEP e das cláusulas negociais aplicáveis, o broker deve verificar se há alguma disposição relativa à proteção de dados pessoais. Em não havendo, a Carpenter Marsh deverá recomendar que seja inserida uma cláusula nesse sentido compatível com a complexidade do negócio.
Nesse sentido, entre os principais aspectos previstos na Cláusula de Proteção de Dados Pessoais em questão, a Carpenter Marsh deverá recomendar a seus clientes e parceiros que sejam inseridas:
· As obrigações de ambas as partes enquanto Controladora/Co-Controladora ou Operadora de dados;
· A garantia de adoção de medidas de segurança da informação (por ambas as partes) para a proteção dos dados compartilhados;
· A gestão de incidentes de segurança que venham a ocorrer;
· O sistema de indenização e responsabilização entre as partes em função de incidentes de segurança ou da violação desta cláusula; dentre outros.
Por sua vez, no que diz respeito ao contrato firmado entre a Carpenter Marsh e seus clientes (“Termos e Condições dos Serviços Prestados” ou “TOBA”), a Companhia estabelecerá Cláusula de Proteção de Dados Pessoais para fins de garantir:
· A definição da posição de Operadora da Carpenter Marsh quanto ao tratamento dos dados compartilhados pelos clientes no âmbito desta relação contratual;
· A responsabilidade do cliente, enquanto Controlador, pelo compartilhamento de dados pessoais que tenham sido coletados em conformidade com as exigências da legislação de proteção de dados aplicável;
· A limitação dos clientes em apresentar exclusivamente instruções lícitas e adequadas para que a Carpenter Marsh possa cumprir com as exigências da posição de Operadora; dentre outros aspectos.
Vale ressaltar que estas garantias serão aplicáveis também nas demais hipóteses em que a Companhia venha a figurar como Operadora no tratamento de dados pessoais, o que ocorrerá, por exemplo na relação entre a Carpenter Marsh e resseguradores. Neste contexto específico, ainda que não haja a celebração do referido TOBA, instrumentos semelhantes serão celebrados a fim de assegurar a aplicabilidade das premissas acima no âmbito da intermediação (mesmo que, de forma extracontratual, a partir da concordância com estas premissas por email, ou ainda, com a inclusão de adendo específico de Proteção de Dados Pessoais nas Ofertas apresentadas pela Carpenter Marsh, por exemplo).
II. Segurança da Informação
Adoção de ferramentas de encriptação
É recomendável ainda o uso da ferramenta de encriptação nos emails que contenham dados pessoais de terceiros, bem como o envio de arquivos protegidos por senhas, as quais devem ser enviadas em mensagens separadas ou ainda utilizando-se de sistemas de carregamento de documentos via nuvem, desde que com login e senha de usuário.
Gestão de e-mails suspeitos
Na hipótese de recebimento de e-mail inesperado (especialmente um com links ou anexos), os colaboradores deverão informar o Departamento de TI sobre o caso para que seja feita a devida avaliação dos riscos envolvidos. Para comunicar um possível e-mail de phishing, utilize o botão “Report Phishing” no Outlook, ou reencaminhe o e-mail como anexo para phishing@mmc.com
Segurança no compartilhamento de dados
Antes do envio de documentos, é importante não apenas verificar e validar as informações de contato do destinatário (a fim de evitar o vazamento acidental de dados), como também utilizar soluções aprovadas pela empresa para partilhar informação externamente. Ainda, ao compartilhar informações confidenciais ou restritas, é recomendável que os documentos sejam encriptados para fins de envio. Para mais detalhes sobre estas medidas de segurança da Carpenter Marsh, consulte a “Política de Uso Adequado das Informações” da Companhia.
Limite de acesso aos dados tratados
Na medida do possível, os dados pessoais recebidos de clientes deverão circular dentro da Companhia de forma restrita à equipe da Carpenter Marsh, em específico, entre os colaboradores diretamente envolvidos no processo de cotação e contratação do resseguro. Dessa forma, em ambientes de redes compartilhadas, é importante que sejam aplicadas restrições de acesso a arquivos ou pastas sensíveis, estas que devem ser revisadas com regularidade para garantir que apenas os colaboradores autorizados possam editar, visualizar, ou compartilhar estes documentos.
Na hipótese de compartilhamento de dados pessoais para terceiros, as informações pessoais deverão ser transmitidas de acordo com as instruções dos clientes apenas (i) aos contatos dos resseguradores envolvidos na cotação/contratação de resseguro; e (ii) uma vez contratado o resseguro, às partes por eles indicadas, como um regulador de sinistros, por exemplo.
III. Retenção limitada de Dados Pessoais
Em regra, dados pessoais devem ser eliminados após o término do seu tratamento. Nesse sentido, os dados pessoais recebidos de clientes serão armazenados nas bases de dados da Carpenter Marsh somente enquanto forem necessários para a execução de suas atribuições no curso da relação comercial em questão, ou conforme exigido para fins de cumprimento de suas obrigações legais ou regulatórias.
Para melhor assegurar o controle e a gestão desse fluxo de eliminação de dados, a Carpenter Marsh segue os protocolos, os parâmetros de retenção de dados pessoais e os prazos legais aplicáveis, conforme consolidado nos “Anexos de Retenção de Registros” previstos na “Política de Uso Adequado das Informações” da Companhia.
3.2. Limites da posição de operador
Considerando que a posição de Operador enseja uma série de restrições específicas frente às exigências do Controlador, é importante observar em que medida a Carpenter Marsh permanece enquadrada sob este manto de “Operadora de Dados”.
Dessa forma, ressaltamos:
· Todo o tratamento de dados pessoais deve se limitar às instruções da Controladora, ressalvados os limites de autonomia técnica do Operador para a escolha das ferramentas e operacionais necessárias para viabilizar os comandos recebidos (com a seleção de sistemas específicos para suas atividades, por exemplo);
· Na hipótese de uso dos dados pessoais recebidos para finalidades alheias à operação prevista no Contrato (para fins de análises diversas da Carpenter Marsh ou para a busca de novas oportunidades de negócios a partir do cruzamento dos dados recebidos com demais informações de sua base), a Companhia será tida como Controladora dos Dados Pessoais usados para esses fins, aplicando-se a ela as obrigações previstas no Item 2.2. acima.
· A título exemplificativo, os dados recebidos dos clientes poderão ser transmitidos sem instruções específicas dos clientes nas situações excepcionais em que Carpenter Marsh passa a figurar enquanto Controladora em operações específicas (tais como para o cumprimento de exigência legal ou regulatória incidente sobre si ou ainda para o exercício regular de seus direitos frente a exigência judicial ou regulatória).