A Marsh, uma empresa parte do grupo Marsh & McLennan Companies Inc. (MMC), esforça-se para proteger a privacidade e a confidencialidade dos Dados Pessoais que a empresa submete a tratamento no âmbito dos serviços que presta aos seus clientes. Os serviços da Marsh consistem essencialmente em atividades de consultoria de risco e intermediação de seguros, que proporcionam a avaliação, o acesso, a administração e a apresentação de reclamações relativamente a serviços de seguros.
Um seguro é uma congregação e partilha de um risco contra uma possível eventualidade. Para tal, a informação, incluindo os Dados Pessoais de diferentes categorias de pessoas, tem de ser partilhada entre os diferentes participantes no mercado segurador durante o ciclo de vida do seguro.
A fim de melhor clarificar as expressões utilizadas no presente Aviso, definimos abaixo as funções dos principais Participantes no Mercado Segurador:
Durante o ciclo de vida de um seguro, a Marsh pode receber Dados Pessoais relacionados com atuais ou futuros Tomadores do Seguro, Beneficiários nos termos de uma apólice, familiares destes, lesados e outras partes envolvidas numa participação. Como tal, referências a "pessoas singulares" no presente aviso incluem qualquer pessoa viva da lista supra, cujos Dados Pessoais são recebidos pela Marsh no âmbito dos serviços prestados de acordo com os seus compromissos com os seus clientes. O presente Aviso define a utilização pela Marsh destes Dados Pessoais e a divulgação por esta a outros Participantes no Mercado Segurador e a outros terceiros.
Incluímos um glossário com as principais definições usadas no presente Aviso [aqui].
Marsh Lda, Rua António Pedro, 111, 1150-045 Lisboa (Marsh ou Nós) age na qualidade de Responsável pelo Tratamento relativamente aos Dados Pessoais que recebe no âmbito dos serviços prestados ao seu cliente de acordo com um compromisso relevante.
Em certos casos, e para fins de realização de alguns serviços, a Marsh e o seu cliente podem ter concordado que Marsh é um processador. Quando a Marsh atua como processador, cumpre as obrigações estabelecidas no contrato concluído com o seu cliente.
Podemos recolher e processar os seguintes Dados Pessoais:
Sempre que a Marsh recolha esta informação diretamente junto das pessoas, esta informará as mesmas se a informação é ou não exigida e sobre quais as consequências de não fornecer a mesma no formato relevante.
A Marsh recolhe Dados Pessoais de várias origens, incluindo (e dependendo dos local onde o cliente se encontra):
Na presente secção, a Marsh define as finalidades para as quais utiliza os Dados Pessoais, explica de que forma é que partilha essa informação e identifica os "fundamentos legais" em que se apoia para realizar o tratamento da informação.
Estes “fundamentos legais” encontram-se definidos no Regulamento Geral de Proteção de Dados (RGPD), que permite às empresas proceder ao tratamento de Dados Pessoais quando esse tratamento é permitido pelos “fundamentos legais” definidos no regulamento.
A fim de facilitar a prestação de uma cobertura de seguro e administrar as participações ao Segurador, a Marsh baseia-se no consentimento do titular dos dados para realizar o tratamento de Categorias Especiais de Dados Pessoais, tais como registos médicos e sobre condenações penais, conforme definido no quadro supra, e para definição de perfis, conforme definido na secção seguinte. Este consentimento permite à Marsh partilhar a informação com outros Seguradores, Mediadores e Resseguradores que podem necessitar da mesma para cumprir a sua função no mercado segurador (o que por sua vez permite a congregação e estipulação de um preço para o risco assumido, de uma forma sustentável).
A obtenção do consentimento da pessoa em causa para a realização deste tratamento de Categorias Especiais de Dados Pessoais é uma condição necessária para que a Marsh possa prestar os serviços solicitados pelos clientes.
Caso o cliente forneça à Marsh informação sobre outra pessoa que não ele próprio, este acorda informar essa pessoa sobre a utilização dos seus Dados Pessoais pela Marsh, e obter esse consentimento em favor da Marsh.
As pessoas podem retirar o seu consentimento ao tratamento em qualquer momento. Contudo, esta retirada do consentimento pode impedir a Marsh de continuar a prestar os serviços. Adicionalmente, se uma pessoa retirar o seu consentimento ao tratamento pelo Segurador ou Ressegurador das suas Categorias Especiais de Dados Pessoais e Dados de Registo Criminal poderá não ser possível manter a cobertura de seguro.
Os Participantes no Mercado Segurador calculam os prémios de seguro através de um processo de aferição (benchmarking) dos atributos dos clientes e dos beneficiários em função dos atributos de outros clientes e outros beneficiários, e a da propensão de ocorrência dos eventos cobertos pelo seguro. Este processo de aferição exige que a Marsh e outros Participantes no Mercado Segurador analisem e compilem informação recebida de todos os outros segurados, beneficiários e lesados para criar um modelo que traduza essa propensão. Assim, a Marsh pode utilizar os Dados Pessoais quer para fazer comparar a informação nos modelos, quer para criar modelos que determinem o preço do prémio a pagar em geral, e para outros segurados. A Marsh e os outros Participantes no Mercado Segurador podem usar Categorias Especiais de Dados Pessoais para criar esses modelos, na medida em que sejam relevantes, tais como historial clínico, no caso de seguros de vida, ou antigas condenações por violações ao código da estrada, no caso de um seguro automóvel.
A Marsh e os outros Participantes no Mercado Segurador utilizam técnicas preditivas semelhantes para avaliar a informação prestada pelos clientes e pelas pessoas, para compreender melhor padrões de fraude, a probabilidade de sofrer perdas efetivas no futuro em caso de sinistro, e conforme definido abaixo.
A Marsh utiliza estes modelos apenas para os efeitos descritos no presente Aviso de Privacidade. Na maioria dos casos, os profissionais da Marsh tomam decisões com base nestes modelos.
Sempre que os clientes utilizem a plataforma de mediação automatizada, as cotações são apresentadas inteiramente através da análise da correspondência ou não dos atributos que o cliente forneceu com os critérios definidos pelos Seguradores, determinando assim (a) se é ou não apresentada uma cotação; (b) com que condições; e (c) com que preço. Cada Segurador utilizará algoritmos diferentes para determinar o preço oferecido, devendo os clientes consultar as políticas de privacidade de cada Segurador para obter mais informação. A plataforma da Marsh limita-se a averiguar se os atributos dos potenciais segurados satisfazem ou não os modelos dos Seguradores, apresentando os resultados. Caso os atributos do potencial segurado não satisfaçam os modelos dos Seguradores, o pedido de cotação é enviado para apreciação para uma equipa com autoridade em matéria de subscrição de risco. A Marsh submete igualmente a informação fornecida pelos clientes a algoritmos de previsão de fraude, para a ajudar a detetar e prevenir fraudes. A Marsh revê regularmente todos os procedimentos de definição de perfis e algoritmos associados para detetar incorreções e distorções.
Estes processos parcialmente automatizados podem ter como efeito a não apresentação de uma proposta de seguro a um cliente, ou afetar o preço ou as condições em que o seguro é oferecido.
Os clientes podem exigir que a Marsh forneça informação sobre a metodologia decisional e solicitar que a Marsh verifique se a decisão automatizada foi tomada corretamente. A Marsh pode rejeitar o pedido, conforme previsto na lei aplicável, incluindo os casos em que o fornecimento desta informação resulte numa divulgação de um segredo comercial ou interfira na prevenção ou deteção de fraudes ou outros crimes. Nestes caso, de uma forma geral, a Marsh verifica se o algoritmo e os dados de base estão a funcionar da forma prevista, sem erros ou distorções.
A Marsh implementou salvaguardas de natureza física, eletrónica e processual apropriadas à sensibilidade da informação por si detida. Estas salvaguardas variam de acordo com a sensibilidade, formato, localização, quantidade, distribuição e armazenamento dos Dados Pessoais, e inclui medidas concebidas para manter os Dados Pessoais protegidos contra acessos não autorizados. Se apropriado, as salvaguardas incluem a cifragem de comunicações através de protocolo SSL, cifragem de informação durante o seu armazenamento, implementação de firewalls, controlo de acessos, separação de funções, e protocolos de segurança semelhantes. A Marsh restringe o acesso aos Dados Pessoais a pessoas e terceiros que devem ter acesso a essa informação por motivos comerciais legítimos e relevantes.
A Marsh recolhe, utiliza e de outra forma submete a tratamento os Dados Pessoais na medida do necessário para os efeitos descritos no presente Aviso de Privacidade, ou nos termos da lei. Caso a Marsh necessite dos Dados Pessoais para efeitos que não sejam consistentes com os descritos no presente Aviso de Privacidade, esta comunicará aos clientes a nova finalidade e, se necessário, obterá o seu consentimento (ou solicitará a terceiros que o façam em nome da Marsh) para submeter a tratamento os Dados Pessoais no âmbito da nova finalidade.
Os períodos de retenção dos Dados Pessoais observados pela Marsh baseiam-se em necessidades comerciais e em requisitos legais. A Marsh retém os Dados Pessoais durante o tempo que for necessário para os efeitos de tratamento para os quais a informação foi recolhida, e para qualquer outra finalidade relacionada e autorizada conforme requerido por lei. Por exemplo, a Marsh pode reter correspondência e certos detalhes de uma transação até que expire o prazo para apresentação de reclamações relativas a uma transação, ou para cumprir requisitos regulamentares relativos à retenção desses dados. Quando os Dados Pessoais deixarem de ser necessários, a Marsh ou torna anónimos de forma irreversível esses dados (e poderá continuar a reter e utilizar a informação anonimizada) ou destrói os dados através de um método seguro.
A Marsh transfere Dados Pessoais para países fora do Espaço Económico Europeu (EEE), ou permite o acesso aos mesmos a partir destes países. As leis sobre proteção de dados destes países nem sempre oferecem o mesmo nível de proteção de Dados Pessoais que os existentes no EEE. Em todas as circunstâncias, a Marsh protege os Dados Pessoais da forma prevista no presente Aviso de Privacidade.
Certos países fora do EEE foram aprovados pela Comissão Europeia como dispondo, no essencial, de proteções equivalentes às leis sobre proteção de dados em vigor no EEE. As leis sobre proteção de dados da UE permitem à Marsh transferir livremente os Dados Pessoais para esses países.
Caso a Marsh transfira os Dados Pessoais para outros países fora do EEE, esta determinará os fundamentos legais que justificam essa transferência, tais como as Regras Vinculativas Aplicáveis às Empresas do Grupo MMC, as cláusulas contratuais-tipo, o consentimento das pessoas, ou outros fundamentos legais permitidos nos termos dos requisitos legais aplicáveis.
As pessoas podem solicitar informação adicional acerca das salvaguardas específicas aplicadas à exportação dos seus Dados Pessoais (contactado o Encarregado de Proteção de Dados) no endereço abaixo.
A Marsh esforça-se para manter Dados Pessoais exatos, completos e atualizados. As pessoas podem contactar a Marsh portugal.privacy@marsh.com caso pretendam atualizar a sua informação.
As questões relativas a práticas de privacidade da Marsh devem ser inicialmente encaminhadas para o Encarregado de Proteção de Dados da Marsh.
Em certas condições, as pessoas têm o direito de solicitar à Marsh que:
Estes direitos estão sujeitos a certas isenções para salvaguarda do interesse público (por exemplo, a prevenção ou deteção de um crime) e dos interesses da Marsh (por exemplo, a manutenção da prerrogativa legal de confidencialidade). A Marsh responderá à maioria dos pedidos no prazo de 30 dias.
Caso a Marsh seja incapaz de esclarecer uma consulta ou resolver uma reclamação, as pessoas têm o direito de apresentar uma queixa junto da autoridade de supervisão responsável.
Para enviar as suas dúvidas ou pedidos relativos ao presente Aviso de Privacidade ou às práticas de privacidade da Marsh, os clientes podem escrever para Compliance Officer/Encarregado de Proteção de Dados com o seguinte endereço:
Encarregado de Proteção de Dados
Marsh, Lda.
Apartado 1373
EC Arroios - Lisboa
1001-000 Lisboa
portugal.privacy@marsh.com
O presente Aviso de Privacidade pode ser alterado em qualquer momento. O Aviso de Privacidade foi atualizado pela última vez em 07.02.2023. Caso a Marsh altere o presente Aviso de Privacidade, esta atualizará igualmente a data da versão mais recente. As alterações introduzidas ao presente Aviso de Privacidade produzem efeitos imediatos.