En Merck & Co., Inc. Rahway, Nueva Jersey [EE. UU.], empresa con nombre comercial “MSD” fuera de EE. UU. y Canadá, nuestra misión de salvar y mejorar vidas también se extiende a respetar la privacidad y proteger la información personal.
Fecha de revisión: 1 de septiembre de 2023
Fecha de entrada en vigor: 1 de septiembre de 2023
Nos esforzamos en llevar a cabo nuestras actividades empresariales de acuerdo con nuestros valores de privacidad, ya que creemos que así se demuestra nuestro firme compromiso por actuar de una manera ética y responsable. Somos conscientes de que la innovación y las nuevas tecnologías suponen un cambio continuo de los riesgos, las expectativas y la legislación, por lo que seguimos los estándares de rendición de cuentas en cuanto a privacidad y procuramos adaptarlos rápidamente para poder aplicarlos según esos cambios.
Esta Política define nuestros estándares globales para la gestión y la protección de la Información personal, por parte de nuestra empresa o en su nombre, independientemente del país de origen o al que se transfiera la Información personal. Describe nuestros compromisos fundamentales de acuerdo con nuestra certificación de Normas de privacidad transfronteriza de la APEC, nuestras Normas Corporativas Vinculantes (“BCR”), aprobadas en la Unión Europea y nuestra autocertificación en el programa EU-U.S. Data Privacy Framework (DPF), la extensión del Reino Unido del DPF y el programa Swiss-U.S. Data Privacy Framework.
Nuestra empresa cumple con el programa EU-U.S. Data Privacy Framework program (EU-U.S. DPF), la extensión del Reino Unido del programa UE-U.S. DPF y el programa Swiss-U.S. Data Privacy Framework program (Swiss-U.S. DPF) según lo establecido por el U.S. Department of Commerce. Hemos certificado ante el U.S. Department of Commerce que cumplimos los Principios del EU-U.S. Data Privacy Framework (Principios del EU-U.S. DPF) con respecto al tratamiento de datos personales recibidos de la Unión Europea conforme al EU-U.S. DPF y del Reino Unido (y Gibraltar) conforme a la extensión del Reino Unido del EU-U.S. DPF. Hemos certificado ante el U.S. Department of Commerce que cumplimos los Principios del programa Swiss-U.S. Data Privacy Framework (Principios del Swiss-U.S. DPF) con respecto al tratamiento de datos personales recibidos de Suiza conforme al Swiss-U.S. DPF. Si existe algún conflicto entre los términos de esta política y los Principios del EU-U.S. DPF y/o los Principios del Swiss-U.S. DPF, los Principios prevalecerán. Para obtener más información sobre el programa Data Privacy Framework (DPF) y para ver nuestra certificación, visite https://www.dataprivacyframework.gov/
Esta Política afecta a nuestras operaciones en todos los países y a todas las actividades que hagan uso de información sobre personas y que realicemos en todas las filiales y divisiones (que incluyen sucesores de nuestros negocios), entre otras, nuestras actividades comerciales, de investigación, de fabricación y de apoyo corporativo así como las transferencias de datos que sean necesarias para llevar a cabo dichas actividades, tales como:
- Actividades de investigación y fabricación: La evaluación de las necesidades y oportunidades para la innovación médica y sanitaria; el inicio, la gestión y la financiación de estudios de investigación; la evaluación y relación con investigadores, miembros del comité científico y de ética, y socios comerciales para el apoyo de nuestros estudios de investigación y el desarrollo de nuestros productos; la selección de personal para los estudios de investigación; la evaluación de la seguridad, la eficacia y la calidad de nuestros productos comercializados y en fase de investigación; el cumplimiento de los requisitos de calidad y seguridad de nuestros productos, incluidas la gestión y la notificación de los acontecimientos adversos y las reclamaciones de calidad del producto; la presentación de solicitudes de autorización y registro de nuestros productos ante las autoridades reguladoras sanitarias, y el cumplimiento de las disposiciones legales, normativas o éticas asociadas.
- Actividades comerciales:La evaluación de los mercados para nuestros productos; actividades de comercialización, venta, distribución, entrega y publicidad de nuestros productos; la comunicación y relación con clientes profesionales de la salud, pagadores de servicios sanitarios, pacientes y otros usuarios finales de nuestros productos, así como cuidadores de aquellas personas que utilizan nuestros productos; el patrocinio y la organización de eventos; la evaluación y relación con socios comerciales para apoyar nuestras actividades comerciales, y el cumplimiento de las disposiciones legales, reglamentarias o éticas asociadas.
- Actividades de apoyo corporativo:la selección, contratación, gestión, desarrollo, comunicación y remuneración de empleados; la administración de los beneficios para los empleados y las personas a su cargo; la realización de las revisiones de talento y rendimiento de los empleados; la impartición de formación y de otros programas de aprendizaje y desarrollo; la ejecución de los procedimientos disciplinarios y de resolución de conflictos de los empleados; la gestión de problemas éticos y de privacidad, además de la realización de las investigaciones; la gestión y protección de nuestra infraestructura y activos tanto físicos como virtuales; el aprovisionamiento y pago de bienes y servicios; el cumplimiento de nuestros compromisos de seguridad, medioambiente y de salud y otros compromisos de responsabilidad corporativa; la relación con los medios de comunicación, y el cumplimiento de las disposiciones legales, reglamentarias o éticas asociadas.
Esta Política también afecta a todas aquellas personas de las cuales tratamos información, entre otros, nuestros profesionales sanitarios y otros clientes; empleados futuros, actuales y antiguos y las personas a su cargo; pacientes; cuidadores; investigadores y participantes en estudios de investigación; miembros del comité científico y de ética; socios comerciales, inversores y accionistas; funcionarios públicos, y otras partes interesadas.
Todos los empleados de la empresa y los altos directivos tienen unas responsabilidades en materia de privacidad fundamentales que deben respetar.
Sabemos que los errores involuntarios y las valoraciones erróneas en relación con la protección de la información sobre personas pueden conllevar riesgos de privacidad para las personas y riesgos de reputación, operativos, financieros y de cumplimiento para nuestra empresa. Impartiremos la formación necesaria respecto a esta Política a todos los empleados y al resto de personal que acceda de manera permanente o habitual a Información personal, que participe en la recopilación de datos o que intervenga en el diseño de herramientas que sirvan para tratar Información personal. Todos los empleados de nuestra empresa, y todos aquellos que tratan información sobre personas para nuestra empresa, son responsables de entender y respetar las obligaciones impuestas por esta Política y por la legislación pertinente.
Nuestros valores y estándares de privacidad
Respetamos nuestros valores de privacidad en todas las actividades que realizamos que afectan a las personas, incluida la manera de aplicar nuestros estándares de privacidad. Nuestros cuatro valores de privacidad son:
Respeto | Confianza | Evitar el daño | Cumplimiento |
---|---|---|---|
Sabemos que las inquietudes con respecto a la privacidad vienen dadas muy a menudo según nuestra personalidad, cómo vemos el mundo y cómo nos definimos, por lo que nos esforzamos en respetar las perspectivas e intereses de las personas y comunidades y en utilizar y compartir la información sobre ellos de manera justa y transparente. | Sabemos que la confianza es fundamental para nuestro éxito, y por esta razón nos esforzamos en fomentar y mantener la confianza de nuestros clientes, empleados, pacientes y otras partes interesadas en nuestra manera de respetar la privacidad y proteger la información sobre personas. | Somos conscientes de que el mal uso de la información sobre personas puede producir daños tangibles e intangibles a las personas, por lo que queremos impedir daños físicos, financieros, de reputación o cualquier otro tipo de daño a la privacidad de las personas. | Nos hemos dado cuenta de que las leyes y normativas no siempre pueden seguir el ritmo de los rápidos cambios que se producen en tecnología, flujos de datos y tendencias relacionadas con los riesgos y expectativas de privacidad. Por lo tanto, intentamos cumplir con el espíritu y la letra de las leyes y normativas de protección de datos y privacidad de una manera que nos permita lograr un funcionamiento coherente y eficiente para nuestras actividades empresariales a nivel global. |
- Integramos nuestros estándares de privacidad en todas las actividades, procesos, tecnologías y relaciones con terceros que utilizan Información personal. Diseñamos medidas de control de la privacidad para nuestros procesos y tecnologías que se corresponden con nuestros valores y estándares de privacidad, así como con la legislación pertinente. Los 8 principios de privacidad que se describen a continuación resumen a grandes rasgos nuestros estándares de privacidad y los requisitos principales para los procesos, las actividades y las tecnologías de apoyo.
- Determinamos y documentamos el periodo de tiempo durante el cual se necesita la Información personal para esos fines empresariales establecidos y los imperativos legales aplicables.
- No recopilamos, utilizamos ni compartimos más Información personal de la que sea necesaria, ni tampoco la conservamos de una manera identificable durante un periodo de tiempo más largo del necesario para esos fines empresariales establecidos y los imperativos legales aplicables.
- Anonimizamos los datos cuando los requisitos del negocio requieren la conservación de la información sobre la actividad o el proceso durante un periodo de tiempo más largo.
- Nos aseguramos de que estos requisitos necesarios están diseñados para cualquier tipo de tecnología de apoyo y de que se comunican a los terceros que prestan apoyo a la actividad o al proceso.
- Determinamos si la recopilación, utilización o cualquier otro tratamiento propuestos de la Información personal presentan un riesgo posible o grave de daño tangible o intangible para los individuos, de acuerdo con nuestro valor de privacidad de Evitar el daño.
- Si la naturaleza de los datos, tipos de personas o la actividad presentan un riesgo posible o grave de daño tangible o intangible para las personas, nos aseguramos de que el riesgo de daño se vea compensado por un beneficio correspondiente para aquellos individuos a quienes se refieren dichos datos o para nuestra misión de salvar y mejorar vidas y de que las medidas, las protecciones y los mecanismos que hemos implantado mitiguen dicho riesgo.
- En aquellos casos en los que el riesgo parezca no ser proporcional a los beneficios que los individuos percibirían, aplicamos las medidas de seguridad y protección relevantes, informamos a los individuos de este hecho y buscamos el consejo de la autoridad reguladora competente siempre que sea posible.
- Tratamos Información confidencial únicamente con el consentimiento expreso de los individuos, según lo expresamente requerido o permitido por la legislación pertinente.
- En aquellos casos en los que el riesgo parezca no ser proporcional a los beneficios que los individuos percibirían, documentamos el análisis del riesgo y diseñamos cualquier mecanismo necesario para minimizar los riesgos lo máximo posible.
- Todos los individuos sobre quienes se trate la Información personal con arreglo a esta Política tienen el derecho de recibir una copia de esta Política. Facilitaremos copias de esta Política en línea en https://www.msdprivacy.com/index.html. El Departamento de Privacidad Global de MSD facilitará, previa solicitud, copias electrónicas o en papel de esta Política a las direcciones que se indican más adelante.
- Cuando la Información personal se recopila directamente de las personas, nosotros les informamos, antes de recopilar los datos, con un aviso de privacidad claro, evidente y fácil de acceder, o bien a través de otros medios similares, sobre los siguientes aspectos: (1) la entidad o entidades empresariales responsables del tratamiento, (2) los datos de contacto de nuestro Director de privacidad o del Director de privacidad de datos regional/local, (3) la información que se recopilará, (4) los fines para los cuales se utilizará, (5) los fundamentos jurídicos de nuestro tratamiento, (6) las personas con las que se compartirá, incluida cualquier petición de revelación de Información personal en respuesta a requerimientos legales efectuados por las autoridades gubernamentales, (7) si se va a transferir Información personal a otros países (incluida una lista de los países pertinentes, si ello fuera viable) y, en caso afirmativo, de qué forma se va a hacer la transferencia, (8) el periodo de tiempo durante el cual se conservará o los criterios a partir de los cuales tomamos esa decisión, (9) la forma en la que pueden preguntar, expresar sus inquietudes o ejercer sus derechos en relación con su Información personal, (10) la forma en la que pueden retirar cualquier consentimiento que hayan otorgado, (11) su derecho a presentar reclamaciones ante cualquier autoridad de control, (12) cualquier obligación de proporcionar Información personal y las consecuencias de no hacerlo, (13) cualquier decisión automatizada, incluida la elaboración de perfiles, que vayamos a tomar, y (14) un enlace a esta Política, cuando sea posible y procedente. Nuestros avisos de privacidad completos para muchas de nuestras partes interesadas están disponibles en línea en http://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.html
- Cuando la Información personal se recopila a través de la observación, sensores u otros medios indirectos, puede que no sea posible facilitar un aviso de privacidad directamente a la personas en el momento en que se recopila la información. En tales casos, le garantizamos a la persona la transparencia de la recopilación a través de otros medios, como por ejemplo mediante avisos impresos o publicados en el dispositivo o en los materiales asociados al dispositivo por el cual se obtendrá la información.
- Cuando la Información personal se recopila a través de un sitio web, una aplicación móvil o cualquier otra aplicación o recurso en línea, aplicamos los estándares específicos de esa tecnología que se describen en nuestra Política de privacidad en Internet y en nuestra Compromiso de privacidad de cookies para garantizar que se cumplen los requisitos de transparencia de acuerdo con esta Política.
- Cuando la Información personal se recopila a través de otras fuentes sin estar necesariamente bajo la dirección de nuestra empresa, antes de obtener la información verificamos por escrito que el proveedor de esa información ha comunicado a las personas las formas y los fines para los cuales nuestra empresa tiene pensado usar esa información. Si no se puede obtener una verificación escrita del proveedor de esa información, utilizamos únicamente información anonimizada, o bien antes de utilizar la Información personal de esas personas les informamos con un aviso de privacidad u otros medios similares sobre los siguientes aspectos: (1) la entidad o entidades empresariales de nuestra empresa responsables del tratamiento, (2) los datos de contacto de nuestro Director de privacidad o del Director de protección de datos regional/local, (3) la información que nuestra empresa tiene la intención de usar, (4) los fines para los cuales tiene la intención de usarla, (5) los fundamentos jurídicos de nuestro tratamiento, (6) las personas con las que nuestra empresa la compartirá, (7) si vamos a transferir Información personal a otros países (incluida una lista de los países pertinentes, si ello fuera viable) y, en caso afirmativo, de qué forma se va a hacer la transferencia, (8) el periodo de tiempo durante el cual nuestra empresa tiene la intención de conservarla o los criterios a partir de los cuales tomamos esa decisión, (9) la forma en la que pueden preguntar, expresar sus inquietudes o ejercer sus derechos en relación con su Información personal, (10) la forma en la que pueden retirar cualquier consentimiento que hayan otorgado, (11) su derecho a presentar reclamaciones ante cualquier autoridad de control, (12) cualquier obligación de proporcionar Información personal y las consecuencias de no hacerlo, (13) cualquier decisión automatizada, incluida la elaboración de perfiles, que tomemos, y (14) un enlace a esta Política, cuando sea posible y procedente.
- Nos aseguramos de que los mecanismos necesarios de transparencia, incluidos si es posible los mecanismos de apoyo a las solicitudes de derechos de las personas, estén diseñados en las tecnologías de apoyo, y de que los terceros que respaldan la actividad o el proceso no traten la información sobre personas de una manera incoherente con lo que se les ha comunicado a las personas a través del aviso de privacidad u otro medio verificable acerca de lo que nosotros u otros que trabajen para nosotros haremos con la información.
- En los casos en los que solicitamos consentimiento, obtenemos y documentamos pruebas de consentimiento en nuestras tecnologías de apoyo.
- Si se identifican nuevos fines comerciales legítimos para la Información personal previamente recopilada, obtenemos el consentimiento de la persona para el nuevo uso de Información personal, o bien garantizamos que el nuevo fin comercial sea compatible con los fines descritos en el aviso de privacidad o en otros mecanismos de transparencia que se facilitaron previamente a la persona. Decidiremos la compatibilidad en función de (1) cualquier vínculo que hubiera entre los fines originales y el nuevo fin propuesto, (2) las expectativas razonables de la persona, (3) la naturaleza de la Información personal, (4) las consecuencias que el tratamiento adicional podría acarrear a la persona y (5) las medidas de protección que hemos implantado.
- No aplicamos este principio a la información anonimizada o al uso de la Información personal únicamente con fines de búsqueda histórica y científica si (1) un Comité de revisión de ética u otro revisor competente ha determinado que el riesgo de ese tipo de uso para la privacidad o para otros derechos de las personas es aceptable, (2) nosotros hemos implantado las medidas de protección adecuadas para garantizar la minimización de los datos, (3) se seudonimizan los datos personales y (4) se respeta cualquier otra legislación pertinente.
- Nos aseguramos de que las restricciones de limitación de finalidad están diseñadas en cualquier tipo de tecnología de apoyo, incluida cualquier capacidad de notificación y transmisión de datos.
- Nos aseguramos de que los mecanismos de revisión periódica de los datos están diseñados en las tecnologías de apoyo para validar la precisión de los datos en contraste con las fuentes y los sistemas de transmisión.
- Nos aseguramos de que la Información confidencial se valida como precisa y actualizada antes de su uso, evaluación, análisis, notificación u otro tratamiento que presente un riesgo de parcialidad para las personas en el caso de que se utilicen datos erróneos u obsoletos.
- Cuando nuestra empresa o terceros que trabajan para nuestra empresa realizan cambios en la Información personal, nos aseguramos de que esos cambios se comunican a las personas pertinentes de una manera oportuna en la medida de lo posible.
- Hemos implementado un exhaustivo programa de seguridad de la información, y llevamos a cabo controles de seguridad que se basan en el grado de confidencialidad de la información y en el nivel de riesgo de la actividad, teniendo en cuenta las mejores medidas tecnológicas actuales y el coste de implementación. Nuestras políticas funcionales de seguridad incluyen, entre otras, los estándares de continuidad empresarial y recuperación de desastres, cifrado, gestión de la identidad y el acceso, clasificación de la información, gestión de incidencias en la seguridad de la información, control de acceso a redes, seguridad física y gestión de riesgos.
- Si la función del tercero es tratar la Información personal para nuestra empresa o en su nombre, antes de proporcionar la Información personal al tercero o implicarlo en el proceso, llevamos a cabo lo siguiente: (1) antes de proporcionar la Información personal al tercero o implicarlo en el proceso, llevamos a cabo lo siguiente: (1) ejercer la diligencia debida en materia de privacidad para evaluar las prácticas de privacidad y los riesgos asociados a esos terceros, (2) obtener garantías contractuales de dichos terceros de que tratarán la Información personal únicamente según las instrucciones de nuestra empresa y conforme a esta Política, incluidos, entre otros, los 8 Principios de privacidad y otros estándares descritos en esta Política, así como la legislación aplicable; de que, además, notificarán de inmediato a nuestra empresa si se produce un Incidente de privacidad, incluyendo cualquier incapacidad de cumplir con los estándares que se describen en esta Política y en la legislación aplicable, o un Incidente de seguridad, y de que cooperarán para remediar de inmediato cualquier Incidente corroborado y respetarán los derechos individuales descritos en la Sección 2 más adelante; de que no designarán a otra empresa para tratar la Información personal sin nuestra autorización por escrito y sin formalizar un contrato que imponga obligaciones equivalentes en materia de protección de datos; de que suprimirán toda la Información personal, o nos la devolverán, una vez que hayan dejado de prestarnos servicios o previa solicitud por nuestra parte; y de que ofrecerán a nuestra empresa la posibilidad de auditar y controlar sus prácticas durante el tiempo de tratamiento de esos datos a fin de demostrar el cumplimiento de estos requisitos. Si los terceros tratan Información personal que se origina en un país o territorio con una legislación que restringe la transferencia de Información personal, nos aseguraremos de que la transferencia al tercero cumple con los requisitos de transferencia transfronteriza de datos descritos en la sección (3), dispuesta a continuación.
- Si la función del tercero es proporcionar Información personal a nuestra empresa, antes de obtener la Información personal del tercero, nos aseguramos de que se cumplen los requisitos de Transparencia para la recopilación de Información personal de otras fuentes, sin estar necesariamente bajo la dirección de nuestra empresa, y obtenemos representaciones contractuales del tercero de que este no está transgrediendo ninguna ley ni los derechos de ningún otro tercero al proporcionar Información personal a nuestra empresa.
- Si la función del tercero es recibir información de nuestra empresa para su tratamiento, sin estar necesariamente bajo la dirección de nuestra empresa, antes de proporcionar información al tercero, nos aseguramos de que la información ha sido anonimizada, y obtenemos garantías por escrito de que el tercero únicamente utilizará dicha información para los fines comerciales descritos en el contrato y de conformidad con la legislación aplicable, sin intentar reidentificar la información.
- Si la transferencia al tercero es necesaria para proteger los intereses legítimos del individuo o los de la empresa, podríamos transferir la información (1) con fines de prevención de fraude o para hacer valer o proteger derechos y bienes de la empresa, (2) para salvaguardar la seguridad personal en nuestros inmuebles de nuestros empleados o de terceros y (3) para proteger nuestros activos adoptando medidas de seguridad correctivas si albergamos sospechas razonables de que se han llevado a cabo actividades ilícitas o conductas indebidas de gravedad.
- Si la transferencia al tercero es necesaria para proteger los intereses legítimos de la persona o los de la empresa, podríamos transferir la información (1) con fines de prevención de fraude o para hacer valer o proteger derechos y bienes de la empresa, (2) para salvaguardar la seguridad personal en nuestros inmuebles de nuestros empleados o de terceros y (3) para proteger nuestros activos adoptando medidas de seguridad correctivas si albergamos sospechas razonables de que se han llevado a cabo actividades ilícitas o conductas indebidas de gravedad.
- Si nuestra empresa tiene la intención de absorber el tercero o de adquirir una participación mayoritaria en este, (1) antes de firmar un acuerdo para absorberlo o adquirir una participación mayoritaria en dicho tercero, ejercemos la diligencia debida en materia de privacidad para evaluar las prácticas de privacidad y los riesgos asociados a la adquisición de ese tercero o de una participación mayoritaria en ese tercero, y (2) firmamos un acuerdo de transferencia de datos que especifica los términos y condiciones por los cuales la Información personal se puede revelar y las respectivas obligaciones de nuestra empresa y del tercero.
- Si la función del tercero es adquirir los negocios de nuestra empresa parcialmente o en su totalidad, antes de compartir ningún tipo de Información personal en relación con la venta de cualquier parte de nuestros negocios, (1) firmamos un acuerdo de transferencia de datos que especifica los términos y condiciones bajo los cuales se puede revelar Información personal al comprador, incluidas las limitaciones apropiadas para el uso autorizado de la Información personal y el cumplimiento con los estándares que se describen en esta Política y en la legislación aplicable; (2) revisamos todos los elementos de datos de las personas antes de compartirlos para evaluar los requisitos de la transmisión de datos; (3) obtenemos el consentimiento para compartir Información personal o Información confidencial de acuerdo con los principios de Transparencia y Limitación de finalidad de esta Política, y (4) solicitamos al tercero que notifique a nuestra empresa de inmediato cualquier Incidente de privacidad aplicable, incluida cualquier incapacidad de cumplir con los estándares que se describen en esta Política y en la legislación aplicable, y que coopere para remediar de inmediato cualquier Incidente corroborado o para detener el tratamiento de Información personal relevante.
-
Mientras que los otros 7 principios de privacidad, al igual que los requisitos de los Derechos individuales descritos más adelante, se plantean para asegurar el cumplimiento de los requisitos de la gran mayoría de leyes de protección de datos y de privacidad que son de aplicación para nuestras actividades empresariales en todo el mundo, en algunos países tenemos que cumplir requisitos adicionales, entre otros, los siguientes:
1) Cuando proceda, obtendremos formularios de consentimiento específicos para ciertos tipos de tratamiento de Información personal, incluida la aprobación del tratamiento por parte de comités de empresa y otros sindicatos de trabajadores;
2) Cuando proceda, registraremos el tratamiento de Información personal ante la autoridad reguladora de protección de datos o de privacidad pertinente o solicitaremos la aprobación por parte de la misma;
3) Cuando proceda, proporcionaremos derechos más amplios (por ejemplo, de acceso y rectificación) que los que se describen en esta Política;
4) Cuando proceda, reduciremos más los periodos de conservación de datos en relación con la Información personal;
5) Cuando proceda, firmaremos acuerdos que contengan cláusulas contractuales específicas, incluidos los acuerdos de transferencia transfronteriza de datos a terceros; y
6) Cuando proceda, divulgaremos Información personal en respuesta a solicitudes lícitas formuladas por autoridades públicas, incluidos los casos en que debamos atender solicitudes en materia de seguridad nacional o solicitudes formuladas por las fuerzas y cuerpos de seguridad.
En caso de conflicto entre esta Política y la legislación aplicable, prevalecerá la normativa que proporcione más protección a las personas.
-
Abordaremos con prontitud las solicitudes sobre los derechos de las personas a acceder, modificar, rectificar o suprimir Información personal; a oponerse al tratamiento de Información personal sobre ellas; o a ejercer otros derechos en relación con su Información personal.
-
Acceso, rectificación, supresión y otros derechos: Con arreglo a la legislación de la gran mayoría de países en los que operamos, las personas tienen el derecho de acceder a su Información personal, así como de modificar, rectificar o suprimir Información personal que sea errónea, incompleta u obsoleta. Atenderemos a todas las solicitudes de acceso, rectificación o supresión de Información personal de todas las personas de acuerdo con la Sección 3a, dispuesta a continuación. Si una solicitud de acceso, rectificación o supresión de información se rige por una legislación aplicable que proporciona una protección más amplia a las personas, nos aseguraremos de que se cumplan los requisitos adicionales de esa legislación.
En algunos países, es posible que a las personas les asistan otros derechos respecto de la Información personal acerca de sí mismas, como el derecho a restringir el tratamiento, a oponerse al tratamiento (véase también la Sección 2b, dispuesta a continuación) y a disponer que sus datos sean transferidos a otro proveedor de servicios. Atenderemos el ejercicio de derechos en materia de datos con arreglo a la legislación aplicable. Algunos derechos como el de supresión pueden estar limitados de acuerdo con otros requisitos normativos o la necesidad de cumplir con la declaración de cumplimiento local, en cuyo caso le informaremos sobre estas limitaciones según proceda. -
Elección: De acuerdo con nuestros valores de privacidad de “Respeto” y “Confianza”, atendemos a las solicitudes de las personas de oponerse al tratamiento de Información personal, incluida la opción de dejar de participar en programas o actividades en los que se había aceptado participar previamente, así como de eliminar el tratamiento de su Información personal para comunicaciones comerciales directas o comunicaciones personales realizadas a medida según esa Información personal, y cualquier otra evaluación o decisión realizada a través del uso de sistemas automatizados o algoritmos que tenga el potencial de afectarles de una manera significativa, entre otras.
- Excepto cuando lo prohíba la legislación, puede que deneguemos la opción de elección cuando una solicitud de elección específica pueda obstaculizar a nuestra empresa en su capacidad para: (1) cumplir la legislación o una obligación ética, incluidos aquellos casos en que las autoridades públicas nos obliguen mediante un requerimiento lícito a divulgar Información personal, incluidos los casos en los que debamos atender solicitudes en materia de seguridad nacional o formuladas por las fuerzas y cuerpos de seguridad; (2) investigar, presentar o defender una demanda judicial; y (3) celebrar contratos, gestionar relaciones o entablar cualquier otra actividad comercial autorizada de acuerdo con los principios de Transparencia y Limitación de finalidad y llevada a cabo basándose en la información sobre las personas en cuestión. En el periodo de quince días hábiles tras cualquier decisión de denegación de una solicitud de elección de acuerdo con esta Política, documentaremos y comunicaremos la decisión al solicitante.
-
Acceso, rectificación, supresión y otros derechos: Con arreglo a la legislación de la gran mayoría de países en los que operamos, las personas tienen el derecho de acceder a su Información personal, así como de modificar, rectificar o suprimir Información personal que sea errónea, incompleta u obsoleta. Atenderemos a todas las solicitudes de acceso, rectificación o supresión de Información personal de todas las personas de acuerdo con la Sección 3a, dispuesta a continuación. Si una solicitud de acceso, rectificación o supresión de información se rige por una legislación aplicable que proporciona una protección más amplia a las personas, nos aseguraremos de que se cumplan los requisitos adicionales de esa legislación.
-
Responderemos y escalaremos rápidamente todas las preguntas, quejas e inquietudes relacionadas con la privacidad, además de cualquier Incidente de privacidad o Incidente de seguridad potencial.
-
Cualquier persona de la cual tratemos Información personal dentro del alcance de esta Política puede plantear una pregunta, queja o inquietud a nuestra empresa en cualquier momento, incluida una solicitud para recibir una lista de todas las filiales de nuestra empresa que están sujetas a esta Política. Esperamos que nuestros empleados y las demás partes que trabajan en nombre de nuestra empresa nos informen rápidamente cuando tengan motivos para creer que una legislación aplicable les pueda impedir cumplir con esta Política. Cualquier pregunta, queja o inquietud que una persona plantee, o cualquier notificación facilitada por un empleado o cualquier otra persona que trabaje en nombre de nuestra empresa, debe dirigirse al Departamento de Privacidad Global:
- Por correo electrónico para residentes en el Espacio Económico Europeo (EEE) a:euprivacydpo@msd.com
- O por correo electrónico a:msd_privacy_office@msd.com
- Por correo postal a: Privacy Office, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pensilvania, EE. UU. 19454.
- Se requiere a los empleados y a los contratistas que comuniquen rápidamente al Departamento de Privacidad Global o al administrador de privacidad asignado a su área de negocio cualquier pregunta, queja o inquietud relacionada con las prácticas de privacidad de nuestra empresa.
- El Departamento de Privacidad Global revisará e investigará, o trabajará con el Departamento de Ética, el Jurídico o el de Cumplimiento Normativo para investigar todas las preguntas, quejas o inquietudes relacionadas con las prácticas de privacidad de nuestra empresa, ya se reciban directamente por parte de nuestros empleados, de otras personas o a través de terceros, entre otros, organismos reguladores, agentes de responsabilidad y otras autoridades gubernamentales. Responderemos a la persona o entidad que haya formulado la pregunta, queja o inquietud a nuestra empresa en un plazo de treinta (30) días naturales a menos que la legislación o un tercero solicitante requiera que se conteste en un plazo de tiempo inferior, o salvo que las circunstancias exijan un plazo de tiempo superior como, por ejemplo, una investigación del gobierno concurrente, en cuyo caso la persona o tercero solicitante será notificado por escrito tan pronto como sea posible de la naturaleza general de las circunstancias que contribuyen al retraso.
- El Departamento de Privacidad Global, en coordinación con el Departamento Jurídico y el de Cumplimiento Normativo, colaborará en respuesta a cualquier consulta, inspección o investigación de una autoridad reguladora de la privacidad.
-
Para quejas que no se puedan resolver entre nuestra empresa y la persona que ha presentado la queja, nuestra empresa ha aceptado participar en los procedimientos de resolución de conflictos durante la investigación y resolución de quejas para resolver los conflictos conforme a esta Política. Sin embargo, las personas residentes en el EEE o las personas cuya Información personal esté sujeta a la legislación de protección de datos del EEE y se transfiera fuera del EEE, también pueden recurrir en todo momento al estándar 3.f. a continuación:
- Para conflictos relacionados con la transferencia de Información personal relativa a actividades de recursos humanos en el contexto de una relación laboral del EEE, y el Reino Unido a los EE. UU. nuestra empresa se compromete a cooperar con el comité de protección de datos de la UE y del Reino Unido correspondiente.
- Para conflictos relacionados con la transferencia de Información personal relacionada con actividades de recursos humanos en el contexto de una relación de empleo de Suiza a los EE. UU., nuestra empresa se compromete a cooperar con el Comisionado Federal para la Protección de Datos y de la Información (FDPIC) suizo.
- Para conflictos relacionados con la transferencia de Información Personal de conformidad con el cumplimiento de nuestra empresa con las Normas de privacidad transfronteriza (CPBR) de la Cooperación Económica Asia-Pacífico (APEC) entre las Economías de la APEC, nuestra empresa acepta gestionar el proceso de resolución de conflictos por medio del Agente de responsabilidad, BBB National Programs. Para obtener más información sobre el alcance de nuestra participación o para presentar una consulta de privacidad a través de nuestros BBB National Programs, haga clic en el sello oficial situado en la parte inferior de esta página.
- iv. Para conflictos relacionados con la transferencia de Información personal relacionada con las actividades de recursos no humanos a través del programa EU-U.S. Data Privacy Framework (DPF), la extensión del Reino Unido del DPF y el programa Swiss-U.S. Data Privacy Framework program, nuestra empresa ha aceptado la resolución de disputas (sin cargo) mediante un mecanismo de recurso independiente, Data Privacy Framework Services, a cargo de BBB National Programs. Si no recibe el acuse de recibo oportuno de su queja, o si su queja no se aborda satisfactoriamente, visite https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumers para obtener más información o para presentar una queja.
- Para cualquier disputa que surja en el marco del programa EU-U.S. Data Privacy Framework (DPF), la extensión del Reino Unido del DPF y el programa Swiss-U.S. Data Privacy Framework program que no se resuelva a través de los pasos descritos en esta sección, bajo ciertas condiciones, las personas pueden solicitar un arbitraje vinculante para algunas reclamaciones residuales no resueltas mediante otros mecanismos de reparación. Consulte https://www.dataprivacyframework.gov/s/article/G-Arbitration-Procedures-dpf?tabset-35584=2.
-
Todas las personas que residan en el EEE, o las personas cuya Información personal esté sujeta a la legislación de protección de datos del EEE y sea transferida fuera del EEE, y cuya información se trate de conformidad con esta Política, tienen en todo momento el derecho con arreglo a esta Política de hacer cumplir los requisitos de dicha Política como terceros beneficiarios, incluido el derecho de emprender una acción judicial para solicitar soluciones jurídicas debido al incumplimiento de sus derechos según esta Política (tal y como se expone en la Sección 2, dispuesta anteriormente) y el derecho de recibir una indemnización por los daños provocados por tal incumplimiento. Las personas que residan en el EEE o las personas cuya Información personal esté sujeta a la legislación de protección de datos del EEE y sea transferida fuera del EEE (en aras de mayor claridad, incluyendo EE. UU.), pueden presentar una reclamación o una queja con arreglo a esta Política contra la Empresa filial responsable de exportar la Información personal fuera del EEE ante:
- los tribunales del Exportador de datos situados en el EEE o
- los tribunales del país donde está situado nuestro Supervisor Europeo de Protección de Datos, o
- las autoridades de protección de datos competentes (en particular en el Estado miembro de residencia habitual, lugar de trabajo o lugar de presunta infracción) o
- nuestras principales autoridades de protección de datos que han indicado nuestras Normas corporativas vinculantes (BCR): la Comisión Nacional de la Informática y de las Libertades (CNIL) francesa.
- Nuestra empresa responderá a la persona o entidad que haya formulado la pregunta, queja o inquietud a nuestra empresa en un plazo de treinta (30) días naturales a menos que la legislación o el tercero solicitante requiera que se conteste en un plazo de tiempo inferior o salvo que las circunstancias exijan un plazo de tiempo más largo, en cuyo caso la persona o el tercero solicitante será notificado por escrito.
-
Cualquier persona de la cual tratemos Información personal dentro del alcance de esta Política puede plantear una pregunta, queja o inquietud a nuestra empresa en cualquier momento, incluida una solicitud para recibir una lista de todas las filiales de nuestra empresa que están sujetas a esta Política. Esperamos que nuestros empleados y las demás partes que trabajan en nombre de nuestra empresa nos informen rápidamente cuando tengan motivos para creer que una legislación aplicable les pueda impedir cumplir con esta Política. Cualquier pregunta, queja o inquietud que una persona plantee, o cualquier notificación facilitada por un empleado o cualquier otra persona que trabaje en nombre de nuestra empresa, debe dirigirse al Departamento de Privacidad Global:
- Somos responsables de respetar nuestros valores y estándares de privacidad.
-
La filial de nuestra empresa responsable de cualquier acción que genere un Incidente de privacidad o un Incidente de seguridad corroborado es responsable desde el punto de vista financiero del importe de cualquier reclamación por daños, multa o sanción que resulte del Incidente de privacidad o Incidente de seguridad.
- En coordinación con el Departamento de Privacidad Global (y bajo la dirección del mismo), el Supervisor Europeo de Protección de Datos es responsable de asegurar que se tomen las medidas necesarias para solucionar cualquier supuesto incumplimiento de esta Política, por parte de las filiales de nuestra empresa fuera del EEE, que afecte a las personas residentes en el EEE o a personas cuya Información personal esté sujeta a la legislación de protección de datos del EEE y sea transferida fuera del EEE. Asimismo, cuando proceda, Merck, Sharp & Dohme (Europe) Inc., sucursal de EE. UU. – Bélgica (“MSD Europe”) debe asegurarse de que se paguen las multas, sanciones e indemnizaciones por los daños causados por los incumplimientos de esta Política que afecten a las personas residentes en el EEE o a personas cuya Información personal esté sujeta a la legislación de protección de datos del EEE y sea transferida fuera del EEE. Con el apoyo del Departamento de Privacidad Global de MSD y la filial de nuestra empresa fuera del EEE responsable del supuesto incumplimiento, el Supervisor Europeo de Protección de Datos deberá demostrar que no debe responsabilizarse a nuestra empresa del supuesto incumplimiento. En el caso de que otra filial de nuestra empresa sea responsable de la acción que exigió la multa, sanción o la indemnización de daños, podría requerirse a dicha filial que reembolse de inmediato a MSD Europe cualquier importe que haya sido pagado por MSD Europe. Si alguna filial de nuestra empresa radicada fuera del EEE incumple esta Política, los tribunales o las autoridades de protección de datos del EEE tendrán jurisdicción y a la persona agraviada se le concederán los derechos y las soluciones jurídicas contra la Empresa filial responsable de exportar la Información personal fuera del EEE, expuestos en la Sección 3.f., dispuesta anteriormente.
- En coordinación con el Departamento de Privacidad Global (y bajo la dirección del mismo), Merck Sharp & Dohme LLC es responsable de asegurar que se tomen las medidas necesarias para solucionar cualquier supuesto incumplimiento de esta Política que afecte a personas que residan fuera del EEE y, cuando proceda, que se paguen las multas, sanciones e indemnizaciones de daños por incumplimientos de esta Política que afecten a personas que residan fuera del EEE o a personas cuya Información personal no esté sujeta a la legislación de protección de datos del EEE. En el caso de que otra filial de nuestra empresa sea responsable de la acción que exigió una multa, sanción o la indemnización de daños, podría requerirse a dicha filial que reembolse de inmediato a Merck Sharp & Dohme LLC. cualquier importe que haya sido pagado por Merck Sharp & Dohme LLC.
-
La filial de nuestra empresa responsable de cualquier acción que genere un Incidente de privacidad o un Incidente de seguridad corroborado es responsable desde el punto de vista financiero del importe de cualquier reclamación por daños, multa o sanción que resulte del Incidente de privacidad o Incidente de seguridad.
Principio de privacidad |
Nuestros compromisos fundamentales |
---|---|
1. Necesidad: Antes de recopilar, utilizar o compartir Información personal, definimos y documentamos los fines empresariales específicos y legítimos para los cuales se necesitan esos datos. |
|
2. Imparcialidad: No tratamos Información personal de formas que puedan ser injustas para las personas a quienes se refieren dichos datos. |
|
3. Transparencia: No tratamos la Información personal de formas o para propósitos que no sean transparentes. |
|
4. Limitación de finalidad: Únicamente utilizamos Información personal de acuerdo con los principios de Necesidad y Transparencia. |
|
5. Calidad de los datos: Conservamos la Información personal de manera precisa, completa y actualizada de acuerdo con su uso previsto. |
|
6. Seguridad: Adoptamos medidas de seguridad para proteger la Información personal y la Información confidencial de la pérdida y mal uso, y del acceso, revelación, alteración o destrucción no autorizados. |
|
7. Transferencia de datos: Somos responsables de las protecciones de privacidad de la Información personal cuando se transfiere de/a otras organizaciones o a través de fronteras nacionales y somos los encargados de preservarlas. |
(1) Transferimos Información personal en el seno de nuestra empresa si se cumplen los siguientes requisitos: (1) la transmisión es necesaria para cumplir el fin con el que se recopiló originalmente la Información personal o para satisfacer otro interés legítimo de la empresa, y (2) el fin con el que se ha de compartir, y el hecho de que se va a compartir, es coherente con el aviso de privacidad o demás mecanismos de transparencia que se facilitaron a la persona en el momento de la recopilación original de la Información personal y del otorgamiento del consentimiento por parte de la persona en los casos en que fuera necesario, (3) en los casos en que una de nuestras filiales actúa únicamente en nombre de otra de nuestras filiales en el tratamiento de Información personal, (4) en los casos en que sea obligatorio conforme a derecho, tales filiales de nuestra empresa formalizarán un contrato de tratamiento de datos interno de conformidad con el principio 8 de esta Política, (5) en los casos en que la infraestructura de TIC requiere dicha transferencia, siempre que se disponga de las medidas organizativas y de seguridad adecuadas para permitir el cumplimiento de dicha transferencia.(2) Transferimos Información personal únicamente para que terceros traten la información, o para permitir que lo hagan, en el supuesto de que se cumplan los siguientes requisitos. Además, somos responsables también de asegurar que dichos terceros cumplan con ellos: (3) Transferimos Información personal a través de fronteras nacionales, incluido a Estados Unidos de América, por parte de nuestra empresa o en su nombre de conformidad con esta Política. Aplicamos esta Política para las transferencias de Información personal desde cualquier otro país o territorio con una legislación que restrinja la transferencia de Información personal, además de cumplir con cualquier imperativo impuesto por tal legislación (incluido el uso de cualquier mecanismo necesario para realizar transferencias transfronterizas a países que no tengan los mismos estándares de protección de datos que el país de origen). |
8. Permitido desde el punto de vista jurídico: Solo tratamos Información personal si se cumplen los requisitos de la legislación aplicable. |
|
Controles de supervisión y vigilancia
Con el objetivo de ofrecer garantías a los reguladores y a otras partes interesadas de que nuestra empresa es responsable de su compromiso con las prácticas éticas y de privacidad responsables, la empresa mantiene un grupo de gobernanza exhaustiva de supervisión y vigilancia. Este grupo cuenta con un Director de privacidad, un Departamento de Privacidad Global (GPO) dedicado, un Delegado de protección de datos (DPD) de la UE asignado, diversos DPD nacionales en los casos en que venga
exigido conforme a derecho o según lo dispongan las autoridades locales y Encargados de privacidad, que son designados por los altos directivos y actúan como enlace entre el Departamento de Privacidad Global y las áreas organizativas en las que trabajan.
Nuestra empresa contará con Agentes de responsabilidad para cuestiones de privacidad que serán responsables con arreglo a la legislación de las revisiones periódicas del cumplimiento de los requisitos de esta Política y de dicha legislación, incluidas las CPBR de la APEC.
Además de las revisiones de garantías gestionadas por el Departamento de Privacidad Global, los equipos de garantías y auditoría internos y externos llevarán a cabo revisiones de cumplimiento para verificar que la Empresa está cumpliendo esta Política, así como todas las políticas, procedimientos, estándares y directrices supeditados a esta. Se diseñarán e implementarán planes de medidas correctivas y preventivas para abordar las brechas detectadas por los equipos de garantías y auditoría. Los resultados de este Programa de auditorías serán trasladados al Director de Privacidad, al Responsable de Privacidad y Protección de Datos y al Consejo de Privacidad y Protección de Datos, los cuales se encargan de notificarlos tal y como se describe en esta Política.
Las autoridades de protección de datos y privacidad que han aprobado esta Política o que tienen jurisdicción sobre las prácticas de nuestra empresa de conformidad con esta Política tienen derecho a verificar que nosotros cumplimos con ella. Aceptaremos el consejo de estas autoridades competentes con respecto a la interpretación y la aplicación de esta Política.
Términos que necesita conocer
- Anonimizado. La alteración, truncamiento, supresión u otra edición o modificación de la Información personal de forma que no se pueda emplear en ningún caso para identificar, localizar o ponerse en contacto con una persona, ya sea por sí sola o combinándola con otros datos.
- Legislación. Todas las leyes, normativas, reglamentos y sentencias con fuerza de ley aplicables en cualquier país en el que nuestra empresa opera o en el que se trata Información personal por parte de nuestra empresa o en su nombre. Esto incluye todos los marcos de privacidad en los cuales nuestra empresa haya recibido alguna aprobación o certificación, incluidas las Normas Corporativas Vinculantes (“BCR”) de la UE, las Reglas de Privacidad Transfronteriza (“CBPR”) del Foro de Cooperación Económica Asia-Pacífico (“APEC”), el programa EU-U.S. Data Privacy Framework (DPF), la extensión del Reino Unido del DPF y el programa Swiss-U.S. Data Privacy Framework program, bajo los poderes de investigación y cumplimiento de la Comisión Federal de Comercio de EE. UU.
- Nuestra empresa. Merck & Co., Inc. (Rahway, Nueva Jersey [EE. UU.]), sus sucesoras, filiales y divisiones en todo el mundo, excluidas las empresas conjuntas en las que participe nuestra empresa.
- Información personal. Cualquier dato relacionado con una persona identificado o identificable, incluidos los datos que identifican a una persona o que pueden usarse para identificar, localizar, rastrear o ponerse en contacto con una persona. La Información personal incluye tanto la información directamente identificable (como puede ser el nombre, el número de identificación o el puesto de trabajo) como la información indirectamente identificable (como puede ser la fecha de nacimiento, el identificador único de un dispositivo móvil o portátil, el número de teléfono o identificadores en línea de datos cifrados tales como direcciones IP o cualquier actividad, conducta o preferencia personal que se pueda recopilar para proveer servicios o productos).
- Incidente de privacidad. Una violación de esta Política o de una ley de protección de datos o de privacidad que incluya un Incidente de seguridad. Corresponde al Departamento de Privacidad Global, al Departamento de Gestión de Riesgos y Seguridad de la Tecnología de la Información (ITRMS) y al Departamento de Asesoría Jurídica determinar si se ha producido un incidente de privacidad y si este debe escalarse a una Brecha de los datos personales.
- Tratamiento. Cualquier operación o conjunto de operaciones realizadas con la información sobre personas independientemente de si se llevan a cabo por medio automático, incluidas la recopilación, registro, organización, almacenamiento, acceso, adaptación, modificación, recuperación, consulta, uso, evaluación, análisis, comunicación, uso compartido, divulgación, difusión, transmisión, publicación, alineación, combinación, bloqueo, eliminación, supresión o destrucción de dicha información, entre otras.
- Brecha de datos personales. Cualquier incidente de la seguridad que conduzca a la destrucción, la pérdida o la alteración accidentales o ilícitas de Información personal; a la divulgación no autorizada de esta, o al acceso no autorizado a la misma; o la creencia justificada de nuestra empresa en la existencia de lo anterior. El acceso a la Información personal por parte de nuestra empresa o en su nombre sin la intención de infringir la presente Política no constituye una Brecha de datos personales, siempre que la Información personal a la que se accede se use y divulgue posteriormente únicamente para los fines permitidos en esta Política.
- Información confidencial. Cualquier tipo de información sobre personas que implique un riesgo inherente de daño potencial para las personas, incluida la información definida con arreglo a la legislación como confidencial, como la información relacionada con la salud, genética, datos biométricos, raza, origen étnico, religión, opiniones o creencias políticas/filosóficas, antecedentes penales, información precisa de geolocalización, números de cuentas bancarias o financieras de otro tipo, números de identificación oficiales, información sobre menores de edad, vida sexual, orientación sexual, afiliación sindical, seguros, seguridad social y otros beneficios a cuenta del empleador o del gobierno.
- Terceros. Cualquier entidad legal, asociación o persona que no sea propiedad de nuestra empresa, o en la que nuestra empresa no disponga de una participación mayoritaria, o que no esté empleada por nuestra empresa. Excepto cuando se indique expresamente en esta Política, no se le requerirá a ninguna filial o división de nuestra empresa que cumpla los requisitos de un tercero con arreglo a esta política, ya que todas las filiales o divisiones deben tratar la información personal de conformidad con esta Política, incluidas aquellas circunstancias en las que una de nuestras filiales apoye a una o varias filiales de nuestra empresa durante el tratamiento.
Cambios de esta Política
Esta Política se puede modificar periódicamente conforme a los requisitos de la legislación aplicable. Se publicará un aviso en la página web sobre privacidad de nuestra empresa (https://www.msdprivacy.com) cada vez que esta Política sea modificada de forma sustancial.