SanlamAllianz Angola
1. Objecto da Política
1.1 O principal objectivo da presente Política é garantir que a SanlamAllianz trata os Dados Pessoais de uma forma responsável que demonstre o seu empenho em defender o direito à privacidade dos Titulares de Dados, com observância de limitações justificáveis destinadas a equilibrar o direito à privacidade dos Titulares de Dados com
1.1.1 O direito de acesso à informação, rectificação, cancelamento, oposição;
1.1.2 Os interesses de outras partes interessadas, incluindo o livre fluxo de dados através das fronteiras internacionais.
1.2 A presente Política:
1.2.1 Especifica os requisitos legais que devem ser cumpridos no que respeita ao Tratamento de Dados Pessoais pela SanlamAllianz;
1.2.2 Cria um mecanismo para o desenvolvimento de regras corporativas vinculativas (BCRs) e acordos corporativos vinculativos (BCAs) para permitir a partilha de dados (incluindo Dados Pessoais) por parte da SanlamAllianz com as Sociedades do Grupo SanlamAllianz (para permitir o cumprimento das suas obrigações) e entre si, sempre que exista um motivo legítimo para assim proceder;
1.2.3 Estabelece padrões genéricos para a SanlamAllianz e as Sociedades do Grupo SanlamAllianz, entidades estas devem formular, documentar e implementar procedimentos, processos e sistemas detalhados para garantir proactivamente o cumprimento destes padrões, tendo em devida conta o ambiente de negócios específico e quaisquer leis ou regulamentos relevantes aplicáveis na jurisdição em que estão localizadas ou em que operam.
2. Âmbito
2.1 A presente Política:
2.1.1 Constitui uma política corporativa da SanlamAllianz, aplicável nos termos e condições definidos na política de e será aplicada da forma prevista na Política de Governação da SanlamAllianz;
2.1.2 Aplica-se a todas actividades de Tratamento de Dados Pessoais realizadas pela SanlamAllianz ao Tratamento de Dados Pessoais durante todo o ciclo de vida dos dados, desde a primeira recolha de Dados Pessoais até ao momento em que esses dados são destruídos ou iliminados.
2.1.3 Não se aplica:
a) Ao Tratamento de Dados Pessoais no decurso de uma actividade puramente pessoal ou doméstica;
b) A Dados Pessoais que foram anonimizados.
3. Declaração de Política
3.1 A SanlamAllianz está empenhada em:
3.1.1 Garantir que todos os Dados Pessoais serão Tratados de forma responsável, que não infrinja injustificadamente a privacidade de quaisquer Titulares de Dados;
3.1.2 Garantir a integridade e a confidencialidade dos Dados Pessoais de quaisquer titulares de Dados que estejam na sua posse ou sob o seu controlo;
3.1.3 Cumprir as suas obrigações em conformidade com todas as leis aplicáveis e relevantes, incluindo nomeadamente especialmente a Lei de Protecção de Dados.
4. Princípios de Privacidade de Dados da SanlamAllianz
Sempre que uma entidade SanlamAllianz seja a Parte Responsável, todo o Tratamento de Dados Pesso-ais deve ser orientado pelos seguintes princípios fundamentais:
4.1 Responsabilidade - A SanlamAllianz é responsável por garantir que as disposições das Leis de Protecção de Dados aplicáveis e os requisitos descritos na presente Política são cumpridos através da implementação de práticas, políticas e procedimentos adequados. Para além disso, a SanlamAllianz deve estar em posição de demonstrar esse cumprimento.
4.2 Limitação / Minimização do Tratamento - A SanlamAllianz deve garantir que os Dados Pessoais sob o seu controlo são tratados apenas quando existe Fundamento Legítimo, de uma forma justa, lícita e não excessiva. Os Dados Pessoais não devem ser conservados por mais tempo do que o necessário para atingir a finalidade para a qual são tratados, excepto se tal for autorizado ou exigido pelas leis aplicáveis. Os Dados Pessoais devem ser recolhidos directamente junto de um Titular de Dados, a menos que a recolha junto de outra fonte seja permitida pela legislação aplicável.
4.3 Transparência - Todo o Tratamento da SanlamAllianz deve ser orientado pelo princípio da trans- parência para com os Titulares de Dados. Tal inclui a adopção de medidas razoáveis para garantir que os Titulares de Dados estejam cientes do Tratamento e que sejam efectuadas todas as divulgações necessárias, conforme exigido pelas Leis de Protecção de Dados aplicáveis e pela presente Política.
4.4 Especificação das Finalidades - A SanlamAllianz deve tratar os Dados Pessoais apenas para finalidades específicas, explicitamente definidas e lícitas.
4.5 Limitação de Tratamento Adicional - Os Dados Pessoais não devem ser Tratados para uma finalidade secundária, a menos que essa finalidade secundária seja compatível com a finalidade ori- ginal ou autorizada pelas Leis de Protecção de Dados.
4.6 Qualidade dos Dados - A SanlamAllianz deve adoptar medidas razoáveis para garantir que todos os Dados Pessoais recolhidos e Tratados são completos, exactos e actualizados, e não enganadores, tendo em conta a finalidade para a qual os mesmos são Tratados.
4.7 Salvaguardas de Segurança - A SanlamAllianz deve tomar todas as precauções razoáveis, tendo em conta a natureza dos Dados Pessoais e os riscos do Tratamento, para preservar a segurança e a confidencialidade dos Dados Pessoais e, em particular, evitar a sua alteração, perda e dano, ou o acesso por pessoas não autorizadas. Tal inclui a adesão a quaisquer políticas de segurança de informação da SanlamAllianz.
4.8 Participação do Titular de Dados - A SanlamAllianz deve, a pedido de um Titular de Dados e com observância das Leis de Protecção de Dados e de quaisquer outras leis aplicáveis relevantes para o acesso a dados, ou de quaisquer considerações legítimas por parte da SanlamAllianz, facilitar o acesso (e, quando tal se justifique, a eliminação ou correcção) dos Dados Pessoais desse Titular de Dados. A SanlamAllianz deve garantir que os seus Titulares de Dados (incluindo nomeadamente colaboradores, clientes, intermediários, fornecedores e outras pessoas relativamente às quais os Dados Pessoais são Tratados) são informados dos direitos que lhes assistem enquanto Titulares de Dados ao abrigo das Leis de Protecção de Dados.
5. Responsáveis pelos Dados
5.1 A SanlamAllianz nomeará um Director de Informática da Companhia.
5.2 A SanlamAllianz deve, na medida exigida pelas Leis de Protecção de Dados, nomear um Director de Informática da SanlamAllianz, ou responsável equivalente, ao abrigo das Leis de Protecção de Dados relevantes. Todas essas nomeações devem cumprir os requisitos das leis aplicáveis.
5.3 As funções do Director de Informática da SanlamAllianz corresponderão a uma responsabilidade de gestão de primeira linha e não a uma responsabilidade de prestador de garantias de segunda linha.
5.4 O Director de Informática da SanlamAllianz é responsável por garantir que a presente Política é implementada.
5.5 O Director de Informática da SanlamAllianz deve diligenciar junto da SanlamAllianz para garantir que é nomeado um Responsável Oficial de Dados. O Director de Informática da SanlamAllianz pode também considerar a possibilidade de se registar como Responsável Oficial de Dados de uma companhia da SanlamAllianz, na medida do possível.
5.6 O Administrador Executivo da SanlamAllianz:
5.6.1 É responsável por nomear e autorizar o Director de Informática da SanlamAllianz;
5.6.2 É responsável por nomear e autorizar formalmente um Director de Informática da SanlamAllianz.
5.7 O Director de Informática da SanlamAllianz é responsável, nomeadamente, por:
5.7.1 Quando relevante, garantir que são desenvolvidos ou actualizados, monitorizados, mantidos e disponibilizados processos e procedimentos documentados para o cumprimento das Leis de Protecção de Dados, incluindo nos termos impostos pelas Leis de Protecção de Dados;
5.7.2 Garantir que são efectuadas avaliações do impacto dos Dados pessoais para garantir que existem medidas e normas adequadas para cumprir as condições de Tratamento lícito dos Dados Pessoais;
5.7.3 Avaliar continuamente os procedimentos de Tratamento de Dados Pessoais da SanlamAllianz e alinhá-los com as Leis de Privacidade de Dados, e os códigos de conduta e as melhores práticas adoptados pelo sector. Tal incluirá a revisão de todos os procedimentos de protecção de dados e políticas conexas que sejam relevantes para a SanlamAllianz;
5.7.4 Tomar medidas para garantir o cumprimento pela SanlamAllianz das disposições das Leis de Protecção de Dados, incluindo o desenvolvimento, implementação, monitorização e manutenção de uma estrutura de conformidade;
5.7.5 Manter a SanlamAllianz actualizada sobre as responsabilidades de protecção dos Dados Pessoais ao abrigo das Leis de Protecção de Dados, incluindo através da prestação de informação e aconselhamento às Entidades Corporativas sobre as suas obrigações ao abrigo das Leis de Protecção de Dados;
5.7.6 Garantir o cumprimento das condições exigidas para o Tratamento lícito de Dados Pessoais e dos princípios consagrados na presente Política;
5.7.7 Organizar e supervisionar a formação de sensibilização dos colaboradores e outras pessoas envolvidas no Tratamento de Dados Pessoais em nome da SanlamAllianz;
5.7.8 Garantir que são tratadas todos as solicitações e reclamações relacionadas com as Leis de Protecção de Dados efectuadas pelos Titulares de Dados da SanlamAllianz e/ou pela Autoridade de Supervisão;
5.7.9 Trabalhar com todas as entidades reguladoras relevantes, a SanlamAllianz, a Unidade de Conformidade da SanlamAllianz e a SanlamAllianz no âmbito de quaisquer investigações em curso.
5.8 O Director de Informática da SanlamAllianz pode designar um Director Adjunto de Informática para o assistir no cumprimento das suas responsabilidades e pode delegar as suas responsabilidades nesse Director Adjunto de Informática, desde que essa delegação:
5.8.1 Seja formalizada por escrito;
5.8.2 Não impeça o delegante de exercer as competências em causa ou de cumprir ela própria essas responsabilidades;
5.8.3 Pode, a qualquer momento, ser retirada ou alterada por escrito pelo delegante.
6. Divulgações de Privacidade dos Dados
6.1 Para garantir o cumprimento efectivo do princípio de transparência referido na anterior secção 4.3, a SanlamAllianz deve, sempre que exigido pelas Leis de Protecção de Dados, assegurar a publicação de avisos de privacidade ou declarações de privacidade (“Divulgações de Privacidade”) para permitir que os Titulares de Dados compreendam claramente por que razão e para que finalidade as seus Dados Pessoais estão a ser recolhidos e Tratadas pela SanlamAllianz.
6.2 As Divulgações de Privacidade devem, como requisito mínimo, incluir as seguintes informações:
6.2.1 Os Dados Pessoais que estão a ser recolhidas e a fonte dos Dados Pessoais (se não forem recolhidas junto do Titular dos Dados);
6.2.2 A firma e o endereço da SanlamAllianz;
6.2.3 A finalidade para a qual os Dados Pessoais estão a ser recolhidos;
6.2.4 O carácter voluntário ou obrigatório do fornecimento dos Dados Pessoais pelo Titular de Dados;
6.2.5 As consequências do não fornecimento dos Dados Pessoais;
6.2.6 Qualquer lei específica que autorize ou exija a recolha de Dados Pessoais;
6.2.7 Se aplicável, o facto de que a SanlamAllianz pretende transferir os Dados Pessoais para um país ou países estrangeiros e o nível de protecção conferido aos Dados Pessoais pelo destinatário no país estrangeiro;
6.2.8 Quaisquer outras informações pertinentes que sejam exigidas pelas Leis de Protecção de Dados.
7. Fundamentos Legítimos
7.1 A SanlamAllianz só pode Tratar Dados Pessoais quando exista um Fundamento Legítimo. A SanlamAllianz deve identificar e registar o Fundamento Legítimo em que se baseia para Tratar Dados Pessoais em cada situação relevante.
7.2 Quando o Fundamento Legítimo for o Consentimento, esse Consentimento deve ser:
7.2.1 Obtido antes do Tratamento;
7.2.2 Claro e inequívoco;
7.2.3 Obtido de forma documentada; e
7.2.4 Susceptível de ser livremente retirado pelo Titular de Dados.
7.3 Sempre que se baseie em interesses legítimos da SanlamAllianz como Fundamento Legítimo, deve ser realizada uma avaliação de interesses legítimos (LIA) e o resultado deve ser registado para garantir que a SanlamAllianz pode demonstrar que considerou a existência de meios menos intrusivos para atingir a finalidade do Tratamento.
8. Dados Pessoais Especiais
8.1 Os Dados Pessoais Especiais são categorias de Dados Pessoais que beneficiam de um nível de protecção mais elevado ao abrigo das Leis de Protecção de Dados. Deve ter-se especial cuidado em p proteger os Dados Pessoais Especiais contra perdas, danos, e utilização, divulgação ou acesso não autorizados.
8.2 Sem prejuízo de quaisquer outras justificações ao abrigo das Leis de Protecção de Dados que possam existir em relação a Dados Pessoais Especiais (ou a uma determinada categoria de Dados Pessoais Especiais), os Dados Pessoais Especiais só devem ser Tratados e divulgados a terceiros com o Consentimento do Titular de Dados (ou de um representante legal no caso de um Menor).
9. Obrigações dos Colaboradores
9.1 É condição do seu vínculo laboral que os Colaboradores observem a presente Política e os proce dimentos, directrizes ou regras que lhes sejam aplicáveis em cada momento. Por conseguinte, a presente Política aplica-se a todos os Colaboradores, e poderá ser alterada e reeditada a todo o tempo.
9.2 No desempenho das suas funções e/ou serviços, os Colaboradores terão acesso e tomarão conhecimento dos Dados Pessoais de determinados Titulares de Dados, incluindo nomeadamente Colaboradores, clientes, intermediários, fornecedores e outras partes interessadas da SanlamAllianz ou de uma Sociedade do Grupo SanlamAllianz. A este respeito:
9.2.1 Todos os Colaboradores são obrigados a tratar os Dados Pessoais como um activo corporativo confidencial e a respeitar a privacidade dos Titulares de Dados;
9.2.2 Os Colaboradores não podem, directa ou indirectamente, utilizar, divulgar ou tornar públicos, de qualquer forma, a qualquer pessoa ou terceiro, quaisquer Dados Pessoais que tenham entrado na sua posse em consequência da sua colaboração com uma Sociedade do Grupo SanlamAllianz, a mesmo que esses dados já sejam do conhecimento público ou que a divulgação seja necessária para que o Colaborador em causa desempenhe as suas funções;
9.2.3 Se um Colaborador não tiver a certeza sobre qualquer aspecto relacionado com a protecção dos Dados Pessoais de um Titular de Dados, esse Colaborador deve pedir assistência ao director da sua linha de negócio, ao Director de Informática da SanlamAllianz ou ao Director Adjunto de Informática da SanlamAllianz (quando aplicável);
9.2.4 Os Colaboradores devem seguir todos os procedimentos e utilizar as tecnologias que a SanlamAllianz, ou o Grupo SanlamAllianz, tenha implementado para manter a segurança de todos os Dados Pessoais desde o momento da recolha até ao momento da destruição. Tal inclui o cumprimento das políticas e processos de Segurança de Informação da SanlamAllianz, incluindo nomeadamente a Política de TI do Grupo SanlamAllianz, Política de Comportamento Digital (Utilizador) do Grupo SanlamAllianz, a Política de Cibersegurança e de Segurança da Informação da SanlamAllianz, e a Política de Informação e Dados da SanlamAllianz.
9.3 Salvo na medida em que tal seja expressa e devidamente autorizado, os Colaboradores não podem, em circunstância alguma:
9.3.1 Tratar ou aceder a Dados Pessoais quando esse tratamento ou acesso não for um requisito para o desempenho das respectivas tarefas ou deveres profissionais;
9.3.2 Guardar cópias de Dados Pessoais directamente nos seus computadores pessoais, computadores portáteis ou outros dispositivos móveis, como tablets ou smartphones, ou copiar, imprimir ou reproduzir sob qualquer forma quaisquer Dados Pessoais, excepto se tal for necessário para o cumprimento das suas tarefas ou deveres profissionais;
9.3.3 Partilhar Dados Pessoais através de métodos não seguros;
9.3.4 Transferir Dados Pessoais para um terceiro (que não faça parte do Grupo SanlamAllianz) num país estrangeiro.
9.4 Se um Colaborador necessitar de acesso a Dados Pessoais que não estejam prontamente disponíveis, esse Colaborador deve solicitar o acesso aos Dados Pessoais ao director da sua linha de negócio, ao Director de Informática da SanlamAllianz ou ao Director Adjunto de Informática da SanlamAllianz (conforme aplicável).
10. Partilha Intra-grupo
10.1 Sempre que uma entidade SanlamAllianz actue como Operador de Tratamento em nome de outra Sociedade do Grupo SanlamAllianz, que actua como Parte Responsável, as Sociedades do Grupo SanlamAllianz relevantes devem assegurar que existe um Acordo de Tratamento em vigor entre as mesmas, o qual deve incorporar as disposições exigidas pelas Leis de Protecção de Dados (incluindo quaisquer requisitos de segurança aplicáveis). O Acordo de Tratamento não carece de ser um instrumento contratual autónomo, podendo ser incorporado num instrumento contratual mais amplo entre as Sociedades do Grupo SanlamAllianz.
11. Terceiros Autorizados
11.1 Sempre que a SanlamAllianz seja a Parte Responsável, é necessário garantir que existem Acor- dos de Tratamento em vigor com todos os Terceiros Autorizados para garantir que estes Tratam os ] Dados Pessoais em conformidade com a presente Política e com as Leis de Protecção de Dados apli- cáveis. Um Acordo de Tratamento não carece de ser um instrumento contratual autónomo, podendo ser incorporado num instrumento contratual mais amplo entre a SanlamAllianz e o Terceiro Autorizado.
11.2 Sempre que as circunstâncias o justifiquem (incluindo quando a natureza dos serviços a serem prestados por um Terceiro Autorizado envolver o Tratamento em grande escala de Dados Pessoais ou o Tratamento de Dados Pessoais Especiais), a SanlamAllianz deve efectuar o seu dever de diligência, sujeitando esses Terceiros Autorizados à auditoria devida. Esta formalidade deve ser cumprida antes do início dos serviços e, posteriormente, deve ser realizada com periodicidade de pelo menos anual. Esta formalidade pode incluir a realização de uma avaliação de risco, e uma auditoria às instalações, procedimentos e políticas de segurança desses Terceiros Autorizados.
11.3 O teor do Acordo de Tratamento deve ter em conta a natureza dos serviços do Terceiro Autorizado e a exposição aos Dados Pessoais da Companhia SanlamAllianz. O Director de Informática da SanlamAllianz, em consulta com o Director de Operações (COO) da SanlamAllianz e a Unidade de Conformidade, pode estabelecer requisitos mínimos para as cláusulas a serem incluídas nos Acordos de Tratamento.
11.4 Todos os Terceiros Autorizados que tratam Dados Pessoais devem aderir estritamente a um ní- vel de segurança proporcional aos requisitos de segurança estabelecidos na(s) política(s) de Seguran- ça da SanlamAllianz (incluindo os Requisitos de Segurança da Informação do Grupo SanlamAllianz para Operadores de Tratamento) e são obrigados a manter e, quando necessário, actualizar os seus sistemas e processos para garantir o nível de segurança adequado.
11.5 O Acordo de Tratamento deverá:
11.5.1 Incluir o direito de a SanlamAllianz auditar as instalações e os locais dos Terceiros Autorizados (e dos subcontratados dos Terceiros Autorizados) para garantir o cumprimento das políticas de segurança;
11.5.2 Conferir à SanlamAllianz meios de tutela adequados, incluindo um direito de resolução, indemnização por violação e/ou cobertura de seguro adequada para quebras de segurança informática, sempre que o Terceiro Autorizado não estiver a cumprir os requisitos estabelecidos no Acordo de Tratamento.
11.6 Os Terceiros Autorizados devem, como parte do Acordo de Tratamento, ser obrigados a informar imediatamente a SanlamAllianz (através do Departamento do Director de Informática da SanlamAllianz) de qualquer Quebra de Segurança efectiva ou suspeitada, ou de qualquer situação em que os Dados Pessoais em sua posse sejam comprometidos.
11.7 Poderá ser exigido aos Terceiros Autorizados que notifiquem o(s) Titular(es) de Dados afectado(s) e/ou a Autoridade de Supervisão, mas tal só deverá ser efectuado mediante instruções da SanlamAllianz, através do Departamento do Director de Informática da SanlamAllianz.
11.8 Os Terceiros Autorizados, incluindo os prestadores de serviços de armazenamento e Tratamento de dados, também podem igualmente ter acesso periódico aos Dados Pessoais de um Titular de Dados no âmbito do armazenamento e conservação dos mesmos. A SanlamAllianz deve garantir que estes Terceiros Autorizados apenas Tratam os Dados Pessoais de acordo com as instruções da SanlamAllianz e as disposições relevantes da presente Política, todas as outras políticas internas relevantes da Sanlam e as Leis de Protecção de Dados.
12. Transferências Transfronteiriças de Dados Pessoais
12.1 A SanlamAllianz deve determinar e observar todos os requisitos legais relevantes e aplicáveis às transferências transfronteiriças de Dados Pessoais nas suas respectivas jurisdições. Para além disso, cada entidade SanlamAllianz deve manter um registo de quaisquer transferências transfronteiriças de Dados Pessoais. Esse registo deve documentar os processos e procedimentos que regem as transferên- cias transfronteiriças, bem como as salvaguardas e justificações legais em que a SanlamAllianz se baseia para efectuar essas transferências.
12.2 Com observância da anterior secção 12.1, a SanlamAllianz só pode transferir Dados Pessoais para um terceiro num país estrangeiro em qualquer uma das seguintes circunstâncias:
12.2.1 Para outra entidade SanlamAllianz, com observância da presente Política, das BCRs e/ou dos BCAs;
12.2.2 Para um Terceiro Autorizado, desde que o Terceiro Autorizado esteja vinculado por um Acordo de Tratamento que cumpra os requisitos da presente Política;
12.2.3 O Titular de Dados prestou o seu Consentimento à transferência proposta, após ter sido infor- mado de quaisquer riscos potenciais; ou
12.2.4 A transferência é necessária por um dos outros motivos previstos na Leis de Protecção de Dados, incluindo: a) A execução de um contrato entre a SanlamAllianz ou a Sociedade do Grupo SanlamAllianz e o Titular dos Dados; b) A execução de um contrato celebrado entre a SanlamAllianz e um terceiro no interesse de um Titular de Dados; c) Se a transferência for em benefício do Titular de Dados, contanto que não seja razoavelmente possível obter o Consentimento do mesmo para a transferência e que, se fosse razoavelmente possível obter esse Consentimento, fosse provável que o Titular de Dados o prestasse; d) Em alguns casos limitados, no interesse legítimo da SanlamAllianz.
12.3 Deve ser efectuada uma avaliação de risco quando se utilizam serviços baseados na nuvem que envolvam o Tratamento de Dados Pessoais. Essa avaliação de risco deve ser efectuada de acordo com quaisquer outras políticas aplicáveis que regulem a utilização de serviços em nuvem pela SanlamAllianz, e deve ter em conta, como requisito mínimo:
12.3.1 A localização dos servidores onde os Dados Pessoais serão armazenados e quaisquer requisitos de residência de dados;
12.3.2 As jurisdições para as quais os Dados Pessoais serão transferidos e o nível de protecção dos Dados Pessoais conferido em cada uma dessas jurisdições;
12.3.3 O nível de segurança implementado pelo prestador de serviços, considerado no contexto da sensibilidade dos Dados Pessoais; e
12.3.4 Os requisitos legislativos aplicáveis ao terceiro nos países onde os Dados Pessoais serão alojados, em particular nos casos em que os países têm o direito de apreender ou de outro modo aceder aos Dados Pessoais alojados pelo terceiro.
13. Procedimento para Solicitar o Acesso a Dados Pessoais
13.1 Os Titulares de Dados têm o direito de:
13.1.1 Solicitar informação sobre os Dados Pessoais que a SanlamAllianz detém sobre os mesmos, assim como inquirir sobre os motivos pelos quais a SanlamAllianz os detém;
13.1.2 Solicitar o acesso aos seus Dados Pessoais;
13.1.3 Serem informados sobre como manter os seus Dados pessoais actualizados.
13.2 A SanlamAllianz deve desenvolver um procedimento de pedido de acesso, que se aplicará aos pedidos de acesso do Titular de Dados ao abrigo das Leis de Protecção de Dados. Esse procedimento deve ser documentado, disponibilizado aos Colaboradores da SanlamAllianz e descrever integralmen te o processo, desde a apresentação de um pedido de acesso por um Titular de Dados, até à execução desse pedido.
13.3 Nos casos em que as Leis de Protecção de Dados definam modelos para pedidos de acesso, a SanlamAllianz deve garantir que esses modelos são colocados nos seus sítios de internet e que estão prontamente disponíveis através de todos os canais de contacto com o cliente.
14. Divulgação de Dados exigidos pelas Autoridades Competentes
14.1 Sempre que a SanlamAllianz seja obrigada a divulgar Dados Pessoais a autoridades fiscais locais e/ou internacionais, a autoridades reguladoras ou a instituições governamentais, ou em virtude um despacho judicial (colectivamente, as “Autoridades Competentes”), a SanlamAllianz deve verificar a veracidade de qualquer pedido de uma Autoridade Competente antes de proceder a quaisquer divul- gações e tomará as devidas precauções para garantir que apenas os Dados Pessoais legalmente exi- gidos, e apenas esses, sejam fornecidos à Autoridade Competente.
15. Salvaguardas de Segurança
15.1 De modo a garantir o cumprimento efectivo do princípio das salvaguardas de segurança referido na anterior secção 4.7, a SanlamAllianz deve:
15.1.1 Implementar medidas para monitorizar o cumprimento das suas políticas e procedimentos de segurança, e verificar a implementação de controlos de segurança através de métodos aceites, como sejam auditorias;
15.1.2 Elaborar e sensibilizar os seus Colaboradores para as suas políticas e procedimentos de segurança da informação, através de processos de integração e de acções de sensibilização para a segurança;
15.1.3 Garantir que todos os Dados Pessoais que saiam de ambientes seguros são devidamente protegidas através da utilização de tecnologias adequadas, como seja a encriptação ou os controlos físicos;
15.1.4 Proceder com a devido cautela na eliminação ou destruição de Dados Pessoais, a fim de impedir o acesso não autorizado;
15.1.5 Assegurar que qualquer Terceiro Autorizado que Trate Dados Pessoais em seu nome dispõe de salvaguardas de segurança pelo menos equivalentes às referidas na presente Política.
15.2 A SanlamAllianz deve garantir que estão em vigor medidas adequadas de gestão de incidentes para monitorizar, detectar, avaliar e responder a qualquer Quebra de Segurança que envolva Dados Pessoais na sua posse ou sob o seu controlo. Essas medidas de gestão de incidentes devem estar alinhadas com qual(is)quer norma(s) sobre o reporte de violações de dados emitida(s) ao abrigo da sua Política.
15.3 Sempre que existam motivos razoáveis para crer que ocorreu uma Quebra de Segurança, e na medida do exigido pela legislação aplicável, a SanlamAllianz notificará a Autoridade de Supervisão e os Titulares de Dados afectados (a menos que a identidade dos Titulares de Dados não possa ser es tabelecida) assim que for razoavelmente possível.
15.4 Quaisquer notificações a uma Autoridade de Supervisão e/ou aos Titulares de Dados afectados serão efectuadas em consulta com o Director de Informática da SanlamAllianz e cumprirão os requisitos das leis aplicáveis (incluindo as Leis de Protecção de Dados).
15.5 O Director de Informática da SanlamAllianz pode definir um modelo para notificação à Área de Segurança da Informação da SanlamAllianz das Quebras de Segurança.
16. Armazenamento e Conservação de Dados
16.1 A SanlamAllianz e/ou os Terceiros Autorizados devem garantir que os Dados Pessoais, incluindo os Dados Pessoais Especiais que Tratam, são Tratados (incluindo a recolha, utilização, divulgação, armazenamento e destruição) de uma forma segura e confidencial adequada à natureza dos Dados, de acordo com a política de conservação e destruição de dados da SanlamAllianz e/ou com as disposições relevantes das Leis de Protecção de Dados.
16.2 A fim de cumprir as Leis de Protecção de Dados, a SanlamAllianz:
16.2.1 Deve manter registos dos Dados Pessoais por si recolhidos, da correspondência ou das observações em formato electrónico ou em papel. Os Dados Pessoais podem ser Tratados durante o tempo necessário para atingir os objectivos para os quais foram recolhidos e/ou conforme permi- tido ou exigido pela legislação aplicável;
16.2.2 Pode conversar Dados Pessoais por períodos mais longos para fins estatísticos, históricos ou de investigação e, nesse caso, a SanlamAllianz deve garantir que foram implementadas salva guardas adequadas para assegurar que: (i) todos os Dados Pessoais registados continuarão a ser Tratados de acordo com a presente Política e as leis aplicáveis, e (ii) os registos de Dados Pessoais não serão utilizados para quaisquer outros fins;
16.2.3 Deve, assim que a finalidade para a qual os Dados Pessoais foram inicialmente recolhidos e Tratados deixar de se aplicar ou se tornar obsoleta, e não houver qualquer motivo legítimo para a conservação de tais Dados Pessoais, garantir que os mesmos são eliminados, destruídos ou anoni- mizados.
16.3 Assim que a SanlamAllianz já não necessitar de Dados Pessoais para atingir o objectivo para o qual foram inicialmente recolhidos ou subsequentemente Tratados, mas conservar esses Dados Pessoais para efeitos de prova, a SanlamAllianz não será obrigada a eliminar ou destruir esses Dados, mas deve impedir que o Tratamento desses Dados Pessoais envolva circulação, publicação ou utiliza- ção adicionais e garantir que existem salvaguardas de segurança adequadas e consistentes com os requisitos da presente Política relativamente a esses Dados Pessoais.
17. Marketing Directo
17.1 A SanlamAllianz reconhece os direitos dos Titulares de Dados relativamente ao Marketing Directo através de comunicações electrónicas não solicitadas e implementará todos os requisitos relevantes das Leis de Protecção de Dados em matéria de Marketing Directo e comunicações electrónicas não solicitadas.
17.2 Ao abrigo de determinadas Leis de Protecção de Dados, os Titulares de Dados têm direitos específicos no que diz respeito a comunicações electrónicas não solicitadas e podem opor-se ao Marketing Directo a qualquer momento. O Tratamento dos Dados Pessoais do Titular de Dados para efeitos de Marketing Directo através de comunicações electrónicas não solicitadas é proibido, salvo se:
17.2.1 O Titular de Dados tiver prestado o seu consentimento;
17.2.2 O Titular de Dados for um cliente da Parte Responsável, com observância dos seguintes requisitos: a) Os dados de contacto do Titular de Dados foram obtidos pela Parte Responsável no contexto da venda de um produto ou serviço; b) O Marketing Directo se destine a comercializar os produtos ou serviços análogos da Parte Responsável; c) Deve ter sido dada ao Titular de Dados a possibilidade, gratuita e sem formalidades desnecessárias, de se opor à recepção de comunicações electrónicas para fins de Marketing Directo no momento da recolha e novamente em cada comunicação subsequente.
17.3 Sempre que a legislação aplicável exija uma opção explícita de inclusão, a SanlamAllianz utilizará um componente de opção explícita relativa ao Marketing Directo através de comunicações electróni- cas não solicitadas.
17.4 A menos que a legislação aplicável preveja uma opção de exclusão, uma Parte Responsável apenas pode partilhar os Dados Pessoais do Titular de Dados com os seus parceiros de marketing se o Titular de Dados optar por aceitar que a Parte Responsável assim proceda.
17.5 Uma Parte Responsável não pode vender Dados Pessoais sem que o Titular de Dados consinta especificamente na venda dos seus Dados Pessoais.
18. Tomada Automatizada de Decisões
18.1 A SanlamAllianz deve garantir que os Titulares de Dados não sejam sujeitos a uma decisão que tenha consequências legais para os mesmos, ou que os afecte de forma significativa, e que seja toma da exclusivamente com base no Tratamento automatizado de Dados Pessoais destinados a apresentar um perfil dessa pessoa, incluindo o seu desempenho profissional, ou a sua capacidade de solvência, fiabilidade, localização, saúde, preferências pessoais ou conduta, a menos que a decisão:
18.1.1 Tenha sido tomada no âmbito da celebração ou execução de um contrato e: a) A solicitação do Titular de Dados nos termos do contrato tenha sido satisfeita; b) Sejam tomadas medidas adequadas para proteger os interesses legítimos do Titular de Dados;
18.1.2 Seja regida por uma lei ou código de conduta em que são especificadas medidas adequa- das para proteger os interesses legítimos dos Titulares de Dados.
18.2 Caso não exista uma lei ou um código de conduta, as medidas adequadas a serem adoptadas devem:
18.2.1 permitir que o Titular de Dados apresente observações sobre a decisão automatizada;
18.2.2 Exigir que a Sociedade do Grupo SanlamAllianz que toma a decisão forneça ao Titular de Dados informações suficientes sobre a lógica subjacente ao processo automatizado de tomada de decisões, de modo a permitir que o Titular de Dados apresente observações.
19. Tratamento de Dados Pessoais dos Colaboradores
19.1 A área de recursos humanos da SanlamAllianz (“RH”) deve garantir o cumprimento da presente Política relativamente a todos os Dados Pessoais dos Colaboradores.
19.2 Os RH apenas devem recolher os Dados Pessoais dos Colaboradores que sejam necessárias para a sua relação laboral com a SanlamAllianz, para cumprir as leis aplicáveis ou sempre que a SanlamAllianz tenha Fundamento Legítimo para o Tratamento dos Dados Pessoais recolhidos.
19.3 O disposto nesta secção aplica-se aos Dados Pessoais recolhidos em relação a qualquer Colabo- rador (antes, durante ou depois da relação laboral), incluindo a partir do momento em que um po- tencial Colaborador se candidata a um cargo, durante a entrevista e o processo de selecção e, se esse candidato for seleccionado, todos os dados tratados durante a relação laboral, aquando da cessação do vínculo e, se for caso disso, após essa cessação.
20. Procedimentos de Reclamação
20.1 O Director de Informática da SanlamAllianz e a SanlamAllianz devem documentar e implementar procedimentos, processos e controlos específicos para a apresentação e processamento de reclama ções relacionadas com o Tratamento de Dados Pessoais. Esse procedimento de reclamações deve, como requisito mínimo, prever que:
20.1.1 Os Titulares de Dados devem ser encorajados a submeter as suas reclamações / inquéritos relacionados com o Tratamento de Dados Pessoais directamente à SanlamAllianz, em vez de se dirigirem à Autoridade de Supervisão, de modo a dar à SanlamAllianz a oportunidade de resolver a reclamação / inquérito de forma rápida e eficiente, internamente e fora do domínio público;
20.1.2 Os Titulares de Dados devem poder dirigir ao Director de Informática da SanlamAllianz impugnações relativas a alegadas violações dos seus direitos. Por conseguinte, o Director de Infor- mática da SanlamAllianz deve estabelecer procedimentos para receber e responder a inquéritos ou impugnações relativos às suas políticas e práticas relacionadas com o Tratamento de Dados Pessoais. Estes procedimentos devem ser de fácil acesso e simples de utilizar.
20.2 A SanlamAllianz deve informar os Titulares de Dados sobre estes procedimentos através dos seus sítios de internet, brochuras ou outros documentos, que devem estar prontamente disponíveis e ser de fácil compreensão. O processo de resolução de reclamações deve ser explicado, e devem ser forneci- dos dados de contacto para os clientes contactarem a SanlamAllianz.
21. Implementação, Aplicação e Reporte de Violações da presente Política
21.1 Todos os Colaboradores devem assegurar-se de que leram, compreenderam e cumprem a presente Política quando Tratam Dados Pessoais durante e no âmbito da sua colaboração com a SanlamAllianz. Qualquer violação da presente Política pode resultar em acção disciplinar, e as pessoas podem estar sujeitas a multa ao abrigo das Leis de Protecção de Dados aplicáveis.
21.2 A SanlamAllianz deve garantir o cumprimento dos requisitos legais e regulamentares relativos ao Tratamento de Dados Pessoais que lhe são aplicáveis, incluindo os contidos na presente Política e em todas as Leis de Protecção de Dados aplicáveis. Pode ser necessário que uma entidade SanlamAllianz procure aconselhamento junto de juristas locais relativamente aos requisitos legais e regulamentares relacionados com o Tratamento de Dados Pessoais actualmente em vigor numa determinada jurisdição.
21.3 A responsabilidade de desenvolver e documentar políticas, processos, acções e procedimentos detalhados para dar eficácia e implementar os princípios consagrados na presente Política cabe principalmente à SanlamAllianz, sendo que o Director de Informática da SanlamAllianz é responsável por garantir o alinhamento em toda a SanlamAllianz. A SanlamAllianz deve ter a capacidade de de- monstrar que envidou todos os esforços necessários para garantir a conformidade, incluindo a realiza- ção de avaliações para compreender o impacto na SanlamAllianz de todas as Leis de Protecção de Dados relevantes e aplicáveis.
21.4 O Director de Informática da SanlamAllianz, o COO da SanlamAllianz (com o GTI), a Unidade de Conformidade da SanlamAllianz e outros membros da ExCo da SanlamAllianz podem formular regras operacionais nos termos da presente Política a serem apresentadas à Comissão Executiva da SanlamAllianz para análise e aprovação. Uma vez aprovadas, as regras operacionais serão vinculati- vas para a SanlamAllianz, nos termos previstos no Grupo.
21.5 Qualquer incumprimento dos termos da presente Política pode ter graves repercussões jurídicas e reputacionais para a SanlamAllianz, e pode causar prejuízos financeiros e reputacionais significativos à SanlamAllianz.
21.6 Se um Colaborador tiver conhecimento de qualquer incumprimento dos termos da presente Política, deve reportá-lo imediatamente aos seus director de linha de negócio, os quais, por sua vez, devem reportá-lo ao Director de Informática da SanlamAllianz.
21.7 A Unidade de Conformidade da SanlamAllianz prestará esclarecimentos sobre qualquer aspecto da presente Política e sobre a forma como esta deve ser incorporada nas actividades da SanlamAllianz.
22. Definições
Na presente Política, os seguintes termos iniciados por letras maiúsculas terão os significados abaixo que lhes são atribuídos:
Subsidiárias e sociedades participadas :
Um investimento sobre o qual a SanlamAllianz exerce influência significativa ou um controlo conjunto, o que exige que o investimento seja contabilizado segundo o método de equivalência patrimonial nas demonstrações financeiras da SanlamAllianz. Na maioria dos casos, a SanlamAllianz deterá uma participação directa ou indirecta superior a 20% mas inferior a 50% do capital emitido da entidade. Inclui sociedades participadas que são contabilizadas segundo o método de equivalência patrimonial nas demonstrações financeiras da SanlamAllianz / SanlamAllianz. A participação estratégica inferior a 20% em sociedades não cotadas pode igualmente ser classificada como subsidiária ou participada.
Terceiros autorizados :
Um terceiro (que não seja uma Sociedade do Grupo SanlamAllianz) que Trate Dados Pessoais em nome da SanlamAllianz ou como parte de quaisquer funções ou deveres que desempenhe nos termos de um contrato com a SanlamAllianz.
BCAs :
Acordos Corporativos Vinculativos que serão celebrados entre pelo menos duas Sociedades do Grupo SanlamAllianz (que podem substituir ou complementar as BCR) para facilitar a transferência de dados (incluindo Dados Pessoais) entre:
BCRs :
Regras Corporativas Vinculativas aplicáveis às Sociedades do Grupo SanlamAllianz que serão desenvolvidas para facilitar a transferência de dados (incluindo Dados Pessoais) entre:
Menor :
Uma pessoa singular viva com idade inferior à da maioridade na jurisdição relevante em que a SanlamAllianz opera
Consentimento :
Qualquer manifestação de vontade voluntária, específica e informada, nos termos da qual é dada autorização para o Tratamento de Dados Pessoais.
Sociedade de Controlo :
Tem o significado que lhe é atribuído na Lei da Actividade Seguradora e Resseguradora.
Leis de Protecção de Dados :
Quaisquer leis de protecção de dados ou de privacidade de dados relacionadas com Dados Pessoais, aplicáveis às actividades da SanlamAllianz em cada momento, e quaisquer leis, regulamentos, directrizes e/ou códigos de conduta emitidos por uma Autoridade de Supervisão.
Titular de Dados :
A pessoa singular viva ou, quando aplicável, a pessoa colectiva existente, à qual os Dados Pessoais dizem respeito.
Anonimizar :
A respeito de Dados Pessoais, significa eliminar qualquer informação que identifique o Titular de Dados de modo a que este não possa ser novamente identificado (i.e. tornado permanentemente anónimo / não identificável).
Directores Adjuntos de Informática :
Pessoa(s) a quem o Director de Informática da SanlamAllianz delegou a gestão quotidiana da presente Política e das políticas e práticas de privacidade conexas.
Marketing Directo :
Abordar um Titular de Dados, pessoalmente ou por correio ou comunicação electrónica, com a finalidade directa ou indirecta de:
GTI
A Área de Tecnologias e Informação do Grupo SanlamAllianz.
Fundamento Legítimo
Qualquer Fundamento Legítimo para o Tratamento de Dados Pessoais reconhecido pelas Leis de Protecção de Dados aplicáveis, incluindo quando:
LIA :
Sempre que a SanlamAllianz se baseie em interesses legítimos próprios (ou de um destinatário terceiro) como Fundamento Legítimo, deve ser realizada uma avaliação de interesses legítimos pela Sanlam. Essa LIA deve incluir:
Operador de Tratamento :
Pessoa que Trata Dados Pessoais em nome de uma Parte Responsável nos termos de um acordo ou mandato, sem estar sob a autoridade directa dessa Parte Responsável.
Acordo de Tratamento :
Acordo escrito (ou cláusulas de um acordo escrito de âmbito mais alargado) a ser celebrado entre: • A SanlamAllianz e um Terceiro Autorizado, que regula a forma como o Terceiro Autorizado, na qualidade de Operador de Tratamento, Trata Dados Pessoais para a SanlamAllianz, na qualidade de Parte Responsável; • A SanlamAllianz e outra Sociedade Grupo SanlamAllianz, que regula a forma como a SanlamAllianz, na qualidade de Operador de Tratamento, Trata Dados Pessoais para a outra Sociedade Grupo SanlamAllianz, na qualidade de Parte Responsável.
Dados Pessoais :
Refere-se a ‘dados pessoais’ ou ‘informações pessoais’ conforme estes termos são definidos nas Leis de Protecção de Dados e, para efeitos da presente Política, refere-se a Dados Pessoais Tratados no decurso do exercício das operações da SanlamAllianz.
Tratar / Tratamento :
Qualquer operação ou actividade ou qualquer conjunto de operações, efectuadas por meios automáticos ou não, relativas a Dados Pessoais, incluindo: • A recolha, recepção, registo, organização, compilação, conservação, actualização ou modificação, recuperação, alteração, consulta ou utilização; • A divulgação por meio de transmissão, distribuição ou disponibilização sob qualquer outra forma; ou • A fusão, ligação, assim como restrição, degradação, apagamento ou destruição de dados, ou qualquer outra actividade definida como constituindo um tratamento nos termos das Leis de Protecção de Dados.
Parte Reponsável :
Sempre que a SanlamAllianz, agindo isoladamente ou em conjunto com terceiros, determinar a finalidade e os meios do Tratamento de Dados Pessoais, será a Parte Responsável. A Parte Responsável é, em última instância, responsável por garantir que os Dados Pessoais são Tratados licitamente.
SanlamAllianz :
A SanlamAllianz Angola Seguros, S.A.
Grupo SanlamAllianz :
A Sanlam Allianz Africa (Pty) Ltd (SanlamAllianz) e todas as sociedades do Grupo SanlamAllianz constituem o Grupo SanlamAllianz.
Sociedades do Grupo SanlamAllianz :
As filiais, subsidiárias e sociedades participadas constituem no seu conjunto as sociedades do Grupo SanlamAllianz. As Outras Participações não são consideradas como sociedades do Grupo.
Director de Informática da SanlamAllianz
O Responsável Oficial de Dados da SanlamAllianz, formalmente registado como tal.
Director de Informática da SanlamAllianz
O Director de Informática nomeado pela SanlamAllianz, responsável por garantir o cumprimento das Leis de Protecção de Dados.
Quebra de Segurança
Situação em que haja motivos para crer ou suspeitar que os Dados Pessoais foram obtidos, divulgados, utilizados, processados a qualquer título ou acedidos por uma parte não autorizada, ou que é razoavelmente provável que sejam obtidos, divulgados, utilizados ou acedidos por uma parte não autorizada.
Dados Pessoais Especiais
Refere-se a ‘dados pessoais especiais’ ou ‘dados pessoais sensíveis’ conforme definido nas Leis de Protecção de Dados e, para efeitos da presente Política, inclui Dados Pessoais relativos a um Menor.
Colaboradores
No que respeita à SanlamAllianz, todos os trabalhadores (permanentes ou temporários), administradores, directores e pessoas singulares que actuem como contratados sob a autoridade da SanlamAllianz, e outros colaboradores da SanlamAllianz.
Responsável Oficial de Dados
Sempre que as Leis de Protecção de Dados exijam que a SanlamAllianz registe um director de informática junto de uma Autoridade de Supervisão, a pessoa registada como tal em cada momento.
Filial
Um investimento sobre o qual a SanlamAllianz exerce um nível de controlo tal que exige que o investimento seja consolidado nas contas da SanlamAllianz (seja por força de participação no capital ou influência significativa). Exclui os fundos de investimento em carteira consolidados. Na maioria dos casos, a SanlamAllianz deterá uma participação directa ou indirecta superior a 50% do capital emitido da entidade. Para efeitos de governação, inclui filiais de filiais.
Autoridade de Supervisão
A autoridade de supervisão ou outra autoridade reguladora responsável pela monitorização e aplicação das Leis de Protecção de Dados na jurisdição relevante. Em Angola, a Autoridade de Supervisão é a Agência de Protecção de Dados.
Os nossos consultores estão ao seu serviço e à sua disposição para responder a todas as suas questões e oferecer-lhe as soluções mais adequadas às suas necessidades.
Por favor, insira seus dados de contacto, um consultor da SanlamAllianz entrará em contacto com você em breve.