Privacy Notice Regarding the Collection and Processing of Privacy Information in the context of whistleblowing alerts and the use of the platform Convercent (“Privacy Notice”)
In the context of whistleblowing alerts and the use of the platform Convercent, Milliman, Inc. and its affiliates (hereafter “Milliman” or “we”) may collect Personal Information related to you or to individuals named in a whistleblowing alert. In this Privacy Notice, “Personal Information” refers to any information that could lead to the identification of a natural person. A natural person can be identified directly through a name or an identification number. However, a natural person can also be identified indirectly through location data, an online identifier, or through one or more factors specific to that person's physical, physiological, genetic, mental, economic, cultural, or social identity.
This Privacy Notice is compliant with applicable data protection laws, including the:
- General Data Protection Regulation (Regulation (EU) 2016/679), the “GDPR”
- UK Data Protection Act 2018
- Manx Data Protection Act 2018
- Swiss Federal Data Protection Act
- Protection of Privacy Law 5741-1981 and the regulations promulgated under it (Israël)
- DIFC Data Protection Law No. 5 of 2020 (UAE)
- Protection of Personal Information Act, or “POPIA” (South Africa)
- law on Protection of Personal Information No. 6698 (Turkey)
- Personal Data Protection Law or “PDPL”, together with the Personal Data Protection Interim Regulations or “PDPIR” (Saudi-Arabia)
hereafter “Applicable Data Protection Laws”.
“You” and “your” refer to the whistleblower reporting wrongdoing (or “Informant”).
The conditions provided for in this Privacy Notice also apply to individuals named in an alert.
I. PURPOSE OF THE COLLECTION OF PERSONAL INFORMATION
The purpose of the collection of Personal Information is:
- the analysis of your claim,
- to conduct investigations, and
- the compliance with applicable laws and regulations (including the European Whistleblower Directive (EU) 2019/1937) and its local laws of application.
II. LEGAL GROUND FOR THE PROCESSING OF PERSONAL INFORMATION
Milliman relies on Article 6 c) GDPR (compliance with a legal obligation), Article 6 f) GDPR (legitimate interests pursued by Milliman) and equivalent provisions in Applicable Data Protection Laws.
III. WHO IS RESPONSIBLE FOR COLLECTING YOUR PERSONAL INFORMATION?
When collecting, using, storing, and transferring your Personal Information, Milliman, Inc. and its affiliates are acting in their capacity as “Data Controller” (or equivalent terms under the various Applicable Data Protection Laws). This means that Milliman, alone, determines the purposes and means of the processing of your Personal Information and that Milliman is responsible for the Processing of your Personal Information.
Milliman uses the cloud-based ethics and compliance platform “Convercent Inc. by One Trust”, whose registered office is at 3858 Walnut Street, Suite #255, Denver CO 80205, (hereafter “Convercent”). Convercent is a software-as-a-service platform (SaaS Platform), which allows Informants to report (anonymously or not) wrongdoing in writing through its web portal.
Convercent is Milliman’s Data Processor (or equivalent terms under the various Applicable Data Protection Laws). It means that Convercent acts upon Milliman’s instructions and on its behalf. Convercent and Milliman are bound by a Data Processing Agreement.
IV. WHO HAS ACCESS TO YOUR PERSONAL INFORMATION?
You have the option to report wrongdoing, through Convercent’s web portal, anonymously or not. The authorized recipients having access to the Personal Information depend on the reporting action you have chosen:
- Non-anonymous reporting action
When you start a non-anonymous reporting action, depending on the relevant workplace , your complaint will be handled by a designated “case owner”, i.e., either (i) by Milliman’s Head of Legal EMEA, who is responsible for the Milliman offices in the EEA, Switzerland, the Isle of Man and the UK, or (ii) by Milliman’s HR Business Partner responsible for the region in which the workplace is located (e.g. the Employment lawyer and HR Generalist or any other person assuming the functions of HR European Business Partner/Officer).
Your identity will not be disclosed to third parties, except (i) as provided for in section VII and (ii) to the judicial authorities, upon your consent, if the analysis of the reporting action confirms the suspicions of a crime, an offense, or a serious violation. If Milliman does not have your consent, Milliman will not disclose your identity, unless required by law. To analyse the merits of a case, Milliman can inform others of the facts on a need-to-know basis but the identity of the whistleblower will remain strictly confidential. For the sake of clarity, the correspondence with external attorneys is not subject to the conditions of this Privacy Notice.
- Anonymous reporting action
Two possibilities are offered to the whistleblower: he/she can decide to remain anonymous to Milliman but not Convercent or to be completely anonymous to both Milliman and Convercent. In both cases, Convercent will send an automatic email alert to Milliman’s regional “case owner” to inform them of the case.
V. WHAT PERSONAL INFORMATION DOES MILLIMAN AND CONVERCENT COLLECT?
The Personal Information that Milliman collects about you or about other individuals depend on the reporting action you have chosen:
(i) Non-anonymous reporting action
When you make a non-anonymous reporting action, or where you have consented to give your identity following an anonymous reporting action, Convercent’s web portal may collect the following data:
- your identity details and contact information;
- employment identifiers (location ID and name, department ID and name);
- your email used for the alert;
- the location and the date when the issue occurred;
- the identity of the people identified in the reporting action;
- the facts under scrutiny;
- the necessary items gathered in order to investigate the action;
- the reports of investigation;
- the reporting action’s follow-up;
- information about witnesses.
The processed data may include sensitive data (or special category of personal data) within the meaning of Applicable Data Protection Laws, such as the reference to individuals’ race or ethnic origin, political opinion, religious or philosophical belief, trade union membership, health, sex life, sexual orientation or criminal convictions or offenses.
At the request of the case owner, the Informant shall provide any document that may support the claim. Any conversation may be transcribed into a durable and retrievable form, based on the consent of the Informant. The conversation will be subject to verification, correction and approval by the Informant. In the event of an arranged meeting, based on the consent of the Informant, a complete and accurate record of the meeting may be kept in a durable and retrievable form. The record of the meeting shall be subject to verification, correction and approval by the Informant.
(ii) Anonymous reporting action
You will have the possibility to share your Personal Information (the same data as listed in (i) above) with only Convercent or neither Convercent nor Milliman.
Convercent and Milliman, Inc. have agreed that Convercent must not provide Milliman with any information from which the identity of an anonymous whistleblower may be determined. Milliman will not use any monitoring or tracing of internet access, or other means to try to identify which person provided a particular message.
VI. HOW AND HOW LONG ARE YOUR PERSONAL INFORMATION STORED?
Milliman and Convercent maintain accurate data and, where necessary, keep the data up to date; every reasonable step is taken to ensure that Personal Information that is inaccurate, irrelevant, and not limited to what is strictly necessary, considering its processing purposes, is erased or rectified without delay. For instance, if a whistleblower reports that a colleague has defrauded Milliman, if, within the statement, the whistleblower also discloses information about that colleague’s health situation, this information, to the extent it is irrelevant to the reported wrongdoing, will, where possible, not be retained.
Once the case is analyzed, and no action is taken, Milliman will destroy the Personal Information within two months after the case is closed. If a disciplinary or judicial procedure is initiated, the data will be retained until the end of the procedure. Personal Information outside the scope of the procedure will be destroyed. You will be informed about the date of the closing, to the extent permitted by law.
VII. TRANSFER TO THIRD PARTIES
Convercent uses the cloud provider Microsoft Azure. When using the Convercent web portal, your Personal Information is stored in the cloud in Ireland, or the Netherlands. As part of the services provided by Convercent’s administrative and IT staff working in the USA (Denver), your Personal Information may be accessed by these employees in Denver, subject to strict security measures (use of a Jump Box and a VPN tunnel). The transfer is covered by appropriate contractual guarantees to protect your Personal Information in accordance with Applicable Data Protection Laws.
VIII. SECURITY MEASURES
Milliman has reviewed and vetted Convercent’s IT security. Convercent has data protection and data security measures and processes in place in its software and hardware, in its IT security program, and in its standard operating procedures (“Privacy by Design”). Convercent also secured the following certifications: ISO27001, HI TRUST, SOC2 and NIST.
IX. YOUR RIGHTS
At any point while Milliman and/or Convercent is in possession of your Personal Information, you have the following rights:
Right to access your Personal Information – you may ask us to confirm what information we hold about you at any time.
Right to ask for rectification – you have a right to correct inaccurate or incomplete Personal Information.
Right to object to the Processing of your Personal Information – you have the right to object to the Processing of your Personal Information, where Milliman does so for its legitimate interest, unless 1) Milliman can demonstrate compelling legitimate grounds for the Processing, which override your interests and rights, or 2) Milliman has a lawful basis to process your Personal Information.
Right to be forgotten – you have the right to request that Milliman erase your Personal Information in certain circumstances: i.e., where the data are no longer necessary for the purpose for which Milliman originally collected and/or processed them (i.e., after the 2-month retention period once the case is closed); the data has been processed unlawfully, or because you have a legitimate interest overriding Milliman’s legitimate grounds.
Right to restriction of Processing – in specific circumstances you have the right to restrict the Processing: 1) inaccuracy of your Personal Information, 2) unlawfulness of the Processing of your Personal Information, and 3) Milliman no longer needs the Personal Information (i.e., after the 2-month retention period once the case is closed) and you need the Information for the establishment, exercise or defense of legal claims (in order for you to exercise this right, Milliman will ensure that you will be duly informed of the case’s closing date);
These rights will not apply in cases of prevention, investigation, detection or prosecution of criminal offenses, to the extent supported by applicable national laws.
If Milliman refuses your request, Milliman will provide you with the reason for refusal. The request must be addressed to Milliman at the following address: [email protected]. A response will be given to you at the latest one month after the date of receipt of the request.
X. DATA PROTECTION OFFICER
For any questions regarding this Privacy Notice, you can contact Milliman’s Data Protection Officer at [email protected].
XI. CLAIM WITH THE SUPERVISORY AUTHORITY
You have the right to lodge a complaint with your local Supervisory Authority according to Applicable Data Protection Laws.
- the previous or current place of employment where the position, internship at Milliman (as an employee, former employee, contractor or trainee, whether paid or unpaid) or on behalf of Milliman (as an employee of Milliman's suppliers or contractors) is/was performed
- the place of employment applied for with Milliman (for applicants)
- the previous or current place of employment at which a person is related to Milliman as a member of the administrative, management or supervisory body, as a non-executive member, a volunteer, or a self-employed person
Aviso de privacidad relativo a la obtención y tratamiento de información de privacidad en el contexto de alertas de denuncia y el uso de la plataforma Convercent (en adelante “Aviso de privacidad”)
En el contexto de las alertas de denuncia y el uso de la plataforma Convercent, Milliman, Inc. y sus empresas asociadas (en adelante “Milliman" o "nosotros”) podrán recopilar información personal relacionada con usted o con las personas nombradas en una alerta de denuncia de irregularidades. En este Aviso de privacidad, “Información personal” se refiere a cualquier información que podría conducir a la identificación de una persona física. Una persona física se puede identificar directamente por medio de un nombre o un número de identificación. Sin embargo, una persona física también se puede identificar directamente por medio de datos de ubicación, un identificador en línea o a través de uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona.
Este Aviso de privacidad cumple con las leyes de protección de datos aplicables, incluidas las siguientes:
- Reglamento General de Protección de Datos (Reglamento (UE) 2016/679), “RGPD”
- Ley de Protección de Datos del Reino Unido de 2018 -
- Ley de Protección de Datos de la República de Man de 2018
- Ley Federal de Protección de Datos de Suiza
- Ley de Protección de la Privacidad 5741-1981 y los reglamentos promulgados en virtud de ella (Israel)
- Ley de Protección de Datos No. 5 de 2020 del Centro Financiero Internacional de Dubai (DIFC) (EAU)
- Ley de Protección de Información Personal, o “POPIA” (Sudáfrica)
- Ley de Protección de Información Personal No. 6698 (Turquía)
- Ley de Protección de Datos Personales o “PDPL”, junto con el Reglamento Provisional de Protección de Datos Personales o “PDPIR” (Arabia Saudita)
de ahora en adelante, “Leyes de Protección de Datos Aplicables”.
“Usted" y "su” se refieren al denunciante o informante que denuncia actos ilegales o irregularidades (“Informante”).
Las condiciones previstas en este Aviso de privacidad también se aplican a las personas físicas nombradas en una alerta.
I. FINALIDAD DE LA OBTENCIÓN DE INFORMACIÓN PERSONAL
La finalidad de la obtención de Información personal es:
- analizar su reclamo,
- llevar a cabo investigaciones, y
- cumplir con las leyes y reglamentos aplicables (incluida la Directiva Europea de Informantes (UE) 2019/1937) y sus leyes locales de aplicación.
II. FUNDAMENTO JURÍDICO PARA EL TRATAMIENTO DE LA INFORMACIÓN PERSONAL
Milliman se basa en el Artículo 6 c) del RGPD (cumplimiento de una obligación legal), el Artículo 6 f) del RGPD (intereses legítimos perseguidos por Milliman) y disposiciones equivalentes en las Leyes de Protección de Datos Aplicables.
III. ¿QUIÉN ES RESPONSABLE DE RECOPILAR SU INFORMACIÓN PERSONAL?
Al recopilar, usar, almacenar y transferir su información personal, Milliman, Inc. y sus empresas asociadas actúan en su capacidad de “Responsable del tratamiento” (o términos equivalentes en virtud de las diversas Leyes de Protección de Datos Aplicables). Esto significa que Milliman, en solitario, determina los propósitos y medios del tratamiento de su Información personal y que Milliman es responsable del tratamiento de su Información personal.
Milliman utiliza la plataforma de ética y cumplimiento basada en la nube “Convercent Inc. de One Trust”, cuyo domicilio social es 3858 Walnut Street, Suite #255, Denver CO 80205, (en adelante, “Convercent”). Convercent es una plataforma de software como servicio (Plataforma SaaS), que permite a los Informantes denunciar (de manera anónima o no anónima) actos ilegales o irregularidades por escrito a través de su portal web.
Convercent es el Encargado de tratamiento de Milliman (o términos equivalentes según las diversas Leyes de protección de datos aplicables). Eso significa que Convercent actúa siguiendo las instrucciones de Milliman y en su nombre. Convercent y Milliman están sujetos a un acuerdo de tratamiento de los datos.
IV. ¿QUIÉN TIENE ACCESO A SU INFORMACIÓN PERSONAL?
Usted tiene la opción de denunciar irregularidades o actos ilegales a través del portal web de Convercent, de manera anónima o no anónima. De la medida de denuncia que haya elegido depende el tipo de destinatarios autorizados que tienen acceso a la información personal:
- Medida de denuncia no anónima
Cuando usted inicia una medida de denuncia no anónima, dependiendo del lugar de trabajo1 que corresponda, su denuncia será manejada por un "propietario de caso" designado, es decir, (i) por el Jefe de Asuntos Legales de EMEA (Head of Legal EMEA) de Milliman, quién es responsable de las oficinas de Milliman en el EEE, Suiza, la Isla de Man y el Reino Unido, o (ii) por el Business partner de Recursos Humanos de Milliman responsable de la región en la que se encuentra el lugar de trabajo (por ejemplo, el abogado laboralista, el “HR Generalist” o cualquier otra persona que asuma las funciones del ”HR European Business Partner/Officer” ).
Su identidad no será revelada a terceros, salvo (i) lo previsto en el apartado VII y (ii) a las autoridades judiciales, previo consentimiento, si el análisis de la denuncia confirma la sospecha de un delito, una falta o una infracción grave. Si Milliman no tiene su consentimiento, Milliman no revelará su identidad, a menos que así lo exija la ley. Para analizar los fundamentos de un caso, Milliman puede informar a otros de los hechos, según sea necesario, pero la identidad del Informante se mantendrá estrictamente confidencial. Para fines de claridad, la correspondencia con abogados externos no está sujeta a las condiciones del presente Aviso de privacidad.
- Medida de denuncia anónima
Se ofrecen dos posibilidades al Informante: puede decidir permanecer anónimo para Milliman pero no para Convercent o ser completamente anónimo para Milliman y Convercent. En ambos casos, Convercent enviará una alerta automática por correo electrónico al "propietario del caso" regional de Milliman para informarle sobre el caso.
V. ¿QUÉ INFORMACIÓN PERSONAL RECOPILAN MILLIMAN Y CONVERCENT?
La información personal que Milliman recopila sobre usted o sobre otras personas depende de la medida de denuncia que haya elegido:
(i) Medida de denuncia no anónima
Cuando realiza una medida de denuncia no anónima, o cuando da su consentimiento para proporcionar su identidad luego de una medida de denuncia anónima, el portal web de Convercent podría recopilar los siguientes datos:
- sus datos de identidad e información de contacto;
- identificadores de empleo (ID y nombre de la ubicación, ID y nombre del departamento);
- su correo electrónico utilizado para la alerta;
- la ubicación y la fecha en la que ocurrió el problema;
- la identidad de las personas identificadas en la medida de denuncia;
- los hechos bajo escrutinio;
- los elementos necesarios reunidos para investigar la medida;
- los informes de investigación;
- el seguimiento de la medida de denuncia;
- información sobre testigos.
Los datos tratados pueden incluir datos confidenciales (o una categoría especial de datos personales) en el sentido de las leyes de protección de datos aplicables, como la referencia a la raza o el origen étnico de las personas, la opinión política, las creencias religiosas o filosóficas, la afiliación sindical, la salud, vida sexual, orientación sexual o condenas o delitos penales.
A solicitud del propietario del caso, el Informante deberá aportar cualquier documento que pueda sustentar el reclamo. Cualquier conversación puede transcribirse en un formato duradero y recuperable, con el consentimiento del Informante. La conversación estará sujeta a verificación, corrección y aprobación por parte del Informante. En el caso de una reunión concertada, con el consentimiento del Informante, se puede mantener un registro completo y preciso de la reunión en un formato duradero y recuperable. El acta de la reunión estará sujeta a verificación, corrección y aprobación por parte del Informante.
(ii) Medida de denuncia anónima
Usted tendrá la posibilidad de compartir su información personal (los mismos datos que se enumeran en (i) arriba) solamente con Convercent o ni con Convercent ni con Milliman.
Convercent y Milliman, Inc. acordaron que Convercent no debe proporcionar a Milliman ninguna información a partir de la cual se pueda determinar la identidad de un Informante anónimo. Milliman no utilizará ningún tipo de seguimiento o seguimiento de acceso a la Internet, u otros medios para tratar de identificar qué persona proporcionó un mensaje en particular.
VI. ¿CÓMO Y CUÁNTO TIEMPO SE CONSERVA SU INFORMACIÓN PERSONAL?
Milliman y Convercent conservan datos precisos y, cuando es necesario, los mantienen actualizados; se toman todas las medidas razonables para garantizar que la Información personal que sea inexacta, no pertinente y que vaya más allá de lo estrictamente necesario, teniendo en cuenta los fines de su tratamiento, se elimine o rectifique sin demora. Por ejemplo, si un Informante denuncia que un colega ha defraudado a Milliman, y, en su declaración, el Informante también revela información sobre el estado de salud de ese colega, esa información, en la medida en que no sea pertinente para la irregularidad denunciada, cuando sea posible, no se conservará.
Una vez que se analice el caso y no se tomen medidas, Milliman destruirá la Información personal en un plazo de dos meses del cierre del caso. Si se inicia un proceso disciplinario o judicial, los datos se conservarán hasta que termine el proceso. Se destruirá la Información personal fuera del alcance del proceso. Se le informará sobre la fecha del cierre, en la medida permitida por la ley.
VII. CESIÓN A TERCEROS
Convercent utiliza el proveedor de la nube denominado Microsoft Azure. Al utilizar el portal web de Convercent, su Información personal se almacena en la nube en Irlanda o en los Países Bajos. Como parte de los servicios prestados por el personal administrativo y de TI de Convercent que trabaja en los EE. UU. (Denver), estos empleados en Denver pueden tener acceso a su Información personal, sujeto a estrictas medidas de seguridad (uso de un Jump Box y un túnel VPN). La transferencia está amparada por garantías contractuales apropiadas para proteger su Información personal de acuerdo con las Leyes de Protección de Datos Aplicables.
VIII. MEDIDAS DE SEGURIDAD
Milliman ha revisado y examinado la seguridad de TI de Convercent. Convercent cuenta con medidas y procesos de protección de datos y seguridad de datos en su software y hardware, en su programa de seguridad de TI y en sus procedimientos normativos de trabajo ("Privacidad por diseño"). Convercent también obtuvo las siguientes certificaciones: ISO27001, HI TRUST, SOC2 y NIST.
IX. SUS DERECHOS
En cualquier momento mientras Milliman y/o Convercent estén en posesión de su Información personal, usted tiene los siguientes derechos:
Derecho a tener acceso a su Información personal: puede pedirnos que confirmemos qué información tenemos sobre usted en cualquier momento.
Derecho a solicitar la rectificación: tiene derecho a corregir la Información personal inexacta o incompleta.
Derecho a oponerse al tratamiento de su Información personal: tiene derecho a oponerse al tratamiento de su Información personal, cuando Milliman lo haga por su propio interés legítimo, a menos que 1) Milliman pueda demostrar motivos legítimos convincentes para el Tratamiento, que prevalecen sobre los intereses y derechos de usted, o 2) Milliman tiene una base legal para procesar su Información personal.
Derecho a ser olvidado: usted tiene derecho a solicitar que Milliman borre su Información personal en ciertas circunstancias; es decir, cuando los datos ya no sean necesarios para el propósito para el que Milliman los recopiló y/o procesó originalmente (es decir, después del período de retención de 2 meses una vez que el caso se haya cerrado). Los datos hayan sido procesados ilegalmente, o porque usted tiene un interés legítimo que anula los motivos legítimos de Milliman.
Derecho a la limitación del Tratamiento de la información: en circunstancias específicas, usted tiene derecho a restringir el Tratamiento de la información: 1) inexactitud de su Información personal, 2) ilegalidad del Tratamiento de su Información personal, y 3) Milliman ya no necesita la Información personal (es decir, después del período de retención de 2 meses una vez que se cierre el caso) y usted necesita la información para el establecimiento, ejercicio o defensa de reclamos jurídicos (para que pueda ejercer este derecho, Milliman se asegurará de que esté debidamente informado de la fecha de cierre del caso);
Estos derechos no se aplicarán en los casos de prevención, investigación, detección o enjuiciamiento de delitos penales, en la medida en que lo respalden las leyes nacionales aplicables.
Si Milliman rechaza su solicitud, Milliman le proporcionará el motivo del rechazo. La solicitud debe dirigirse a Milliman a la siguiente dirección: [email protected]. Se le dará una respuesta a más tardar un mes después de la fecha de recepción de la solicitud.
X. DELEGADO DE PROTECCIÓN DE DATOS
Para cualquier consulta relacionada con este Aviso de privacidad, puede comunicarse con el Delegado de Protección de Datos de Milliman en [email protected].
XI. RECLAMO ANTE LA AUTORIDAD SUPERVISORA
Usted tiene derecho a presentar una queja ante la autoridad de supervisión local de conformidad con las Leyes de Protección de Datos Aplicables.
1lugar de trabajo" se entiende como:
- el sitio donde se encuentra el lugar de empleo anterior o actual donde se desempeñó el puesto, la pasantía en Milliman (como empleado, exempleado, contratista o aprendiz, ya sea remunerado o no remunerado) o en nombre de Milliman (como empleado de proveedores o contratistas de Milliman)
- el lugar de trabajo donde solicitó empleo en Milliman (para los solicitantes)
- el lugar de trabajo anterior o actual en el que una persona está relacionada con Milliman como miembro del órgano de administración, gerencia o supervisión, como miembro no ejecutivo, voluntario o trabajador por cuenta propia