Política sobre Regras Globais de Privacidade Transfronteiriça

Na Merck & Co., Inc. (Kenilworth, NJ, EUA), conhecida como MSD fora dos Estados Unidos e Canadá, a nossa missão de salvar e melhorar vidas estende-se ao respeito pela privacidade e proteção da informação pessoal.

Tentamos realizar a nossa atividade de acordo com os nossos valores de privacidade porque acreditamos que demonstram um compromisso inabalável para com práticas éticas e responsáveis. Reconhecemos que a inovação e a nova tecnologia promovem uma alteração contínua nos riscos, expectativas e leis, por isso cumprimos normas de responsabilidade sobre privacidade e tentamos nos adaptar a elas em resposta a essas alterações.

Esta Política define as nossas normas globais para gestão e proteção de Informação Pessoal, por ou em nome da nossa empresa, que direta ou indiretamente, tenha origem em qualquer país do Espaço Econômico Europeu (“EEE”), Suíça ou qualquer membro da Cooperação Econômica Ásia-Pacífico (“CEAP”) e seja transferida para qualquer outro país, incluindo transferências entre o EEE e a CEAP. A mesma, descreve os principais compromissos que apoiam o cumprimento das nossas Regras de Privacidade Transfronteiriça APEC de certificação, das nossas Regras Empresariais Obrigatórias (Binding Corporate Rules, BCR), aprovadas na União Europeia e da nossa autocertificação de conformidade com o EU-U.S. Privacy Shield. Esta Política aplica-se às nossas operações em todos os países, a todas as atividades que realizamos que envolvam informação acerca de pessoas em todas as subsidiárias e a todas as divisões (e por quaisquer eventuais sucessores do nosso negócio), incluindo, mas não se limitando às nossas atividades de investigação, fabricação, comércio e apoio corporativo, e serviços e soluções de cuidados de saúde, e às transferências de dados necessárias para realizar essas atividades, incluindo, mas não se limitando a:

  • Investigação e Fabricação: avaliar as necessidades e oportunidades para inovação médica e de saúde; iniciar, gerir e financiar estudos de investigação; avaliar e comunicar com investigadores, membros de comités científicos e éticos e parceiros de negócios para apoiar os nossos estudos de investigação e o desenvolvimento dos nossos produtos; recrutamento para estudos de investigação; avaliar a segurança, eficácia e qualidade dos nossos produtos de investigação e daqueles que comercializamos; corresponder às obrigações de segurança e qualidade de produto, incluindo gerir e comunicar eventos adversos e queixas sobre a qualidade do produto; solicitar aprovação e registo dos nossos produtos junto às autoridades reguladoras e cumprir requisitos legais, regulatórios ou éticos associados;
  • Comercial: avaliar os mercados para os nossos produtos; publicitar, comercializar, vender, distribuir e providenciar os nossos produtos; comunicar e criar relações com clientes profissionais de cuidados de saúde, entidades pagadoras de serviços de saúde, pacientes e outros utilizadores finais dos nossos produtos, bem como cuidadores daqueles que usam os nossos produtos; patrocinar e realizar eventos; avaliar e comunicar com parceiros de negócios para apoiar as nossas atividades comerciais; e cumprir os requisitos legais, regulatórios ou éticos associados;
  • Apoio Corporativo: recrutar, contratar, gerir, desenvolver, comunicar com e remunerar os funcionários; administrar benefícios dos funcionários e seus dependentes; realizar avaliações de desempenho e talento de funcionários, facultar formação e outros programas de aprendizagem e desenvolvimento; realizar audiências disciplinares e de reclamações de funcionários; gerir preocupações de ética e efetuar investigações; gerir e proteger os nossos ativos físicos, virtuais e infraestrutura; comprar e pagar bens e serviços; cumprir os nossos compromissos ambientais, de saúde e segurança e outros de responsabilidade corporativa; comunicar com a comunicação social; e cumprir os requisitos legais, regulamentares ou éticos associados.
  • Serviços e Soluções de Cuidados de Saúde: melhorar o valor dos cuidados prestados aos pacientes em todo o mundo através de serviços e soluções baseados em evidência, focados em serviços clínicos, soluções de engajamento e analítica de saúde.

Esta Política também se aplica a todas as pessoas sobre quem processamos informação, incluindo, mas não se limitando aos nossos clientes profissionais de cuidados de saúde e outros clientes; potenciais, atuais e antigos funcionários e os seus dependentes, pacientes, cuidadores, investigadores e participantes em estudos de investigação, membros de comité de ética e científico, parceiros comerciais, investidores e acionistas, responsáveis governamentais e outras partes interessadas.

Todos os Funcionários da Empresa e Líderes Sêniores têm responsabilidades de privacidade fundamentais que devem manter.

Reconhecemos que equívocos e erros inadvertidos relacionados com a proteção da informação sobre pessoas possam originar riscos de privacidade para indivíduos e riscos reputacionais, operacionais, financeiros e de conformidade para a nossa Empresa. Proporcionaremos formação adequada sobre a presente Política a todos os funcionários e outros membros do pessoal que tenham acesso permanente ou regular a Informações Pessoais, que estejam envolvidos na coleta de dados ou no desenvolvimento de ferramentas utilizadas no processamento de Informações Pessoais. Cada funcionário da nossa empresa, e outros que processam informação sobre pessoas da nossa empresa, é responsável por compreender e manter as suas obrigações sob esta Política e leis aplicáveis.

Os nossos valores e normas de privacidade

Mantemos os nossos valores de privacidade em tudo o que fazemos que envolva pessoas, incluindo como aplicamos as nossas normas de privacidade. Os nossos quatro valores de privacidade são:

Respeito

Confiança

Prevenção de danos

Conformidade

Reconhecemos que as preocupações de privacidade estão muitas vezes relacionadas com a essência de quem somos, como vemos o mundo e como nos definimos. Nos esforçamo, por isso, por respeitar as perspectivas e interesses dos indivíduos e comunidades, e por sermos justos e transparentes em como usamos e compartilhamos a informação que nos prestam.

Sabemos que a confiança é vital para o nosso sucesso, por isso, envidamos esforços para criar e preservar a confiança dos nossos clientes, funcionários, pacientes e outras partes interessadas em como respeitamos a privacidade e protegemos informação pessoal.

Compreendemos que o uso indevido da informação pessoal possa criar danos tangíveis e intangíveis aos indivíduos, por isso, procuramos evitar danos físicos, financeiros, reputacionais e outros tipos de danos de privacidade aos indivíduos.

Aprendemos que as leis e regulamentos não podem acompanhar sempre a rápida mutação nas tecnologias, fluxos de dados e mudanças associadas nos riscos e expectativas de privacidade, por isso, envidamos esforços para cumprir o espírito e letra das leis e regulamentos de proteção de dados e privacidade de uma forma que incentive a consistência e eficiência operacional para as nossas operações comerciais globais.

  1. Incorporamos as nossas normas de privacidade em todas as atividades, processos, tecnologias e relações com terceiros que usam Informação Pessoal. Nós desenvolvermos controles de privacidade nos nossos processos e tecnologias que sejam consistentes com os nossos valores de privacidade e normas e a lei aplicável. Os nossos 8 princípios de privacidade indicados abaixo resumem as nossas normas de privacidade e principais requisitos para os processos, atividades e as suas tecnologias de suporte ao nível mais elevado.

    Princípios de Privacidade

    Os nossos Principais Compromissos

    1. Necessidade – antes de coletar, usar ou compartilhar Informação Pessoal, definimos e documentamos os objetivos comerciais específicos e legítimos para os quais são necessários.

    • Determinamos e documentamos por quanto tempo a Informação Pessoal será necessária para dar cumprimento aos objetivos comerciais definidos e requisitos legais aplicáveis.
    • Não coletamos, usamos ou compartilhamos mais Informação Pessoal que a necessária nem a retemos numa forma identificável durante mais tempo do que o necessário, para dar cumprimento aos objetivos comerciais definidos e requisitos legais aplicáveis.
    • Anonimizamos os dados quando os requisitos comerciais necessitam que a informação sobre a atividade ou processo seja retida durante um período de tempo maior.
    • Asseguramos que esses requisitos de necessidade sejam incorporados em qualquer tecnologia de suporte e que sejam comunicados a terceiros que suportam a atividade ou processo.

    2. Justiça – não processamos a Informação Pessoal de forma a que seja injusto para as pessoas com as quais se relacionam os dados.

    • Determinamos se a coleta, uso ou outros processos propostos de Informação Pessoal apresentam um risco provável e/ou grave de danos tangíveis ou intangíveis a indivíduos de acordo com o nosso valor de privacidade de Prevenção de Danos.
    • Se a natureza dos dados, tipos de pessoas ou a atividade apresentarem um risco provável e/ou grave de danos tangíveis ou intangíveis a indivíduos, asseguramos que o risco de danos será compensado por um benefício correspondente para aqueles indivíduos, ou para a nossa missão de salvar e melhorar vidas, e que é mitigado pelas medidas, garantias e mecanismos que aplicamos.
    • Sempre que o risco pareça sobrepor-se aos benefícios para os indivíduos, apenas processamos a Informação Sensível ou Informação Pessoal com o consentimento explícito dos indivíduos, como expressamente requerido ou expressamente permitido pela lei aplicável ou conforme expressamente autorizado por uma autoridade reguladora competente.
    • Documentamos a análise de risco e concebemos quaisquer mecanismos para obter e documentar evidências de consentimento em tecnologias de suporte.

    3. Transparência – não processamos Informação Pessoal de forma ou para objetivos que não sejam transparentes.

    • Todos os indivíduos sobre quem a Informação Pessoal é processada sob esta Política terão o direito a uma cópia desta Política. Disponibilizaremos cópias desta Política online em www.msdprivacy.com. O Departamento de Privacidade Global da MSD providenciará cópias eletrônicas e/ou em papel desta Política, a pedido, para os endereços listados na Seção 3.a. abaixo.
    • Quando a Informação Pessoal for coletada diretamente de indivíduos,, vamos informá-los, antes de proceder a coleta das informações e através de um aviso de privacidade claro, evidente e de fácil acesso, ou de meios similares, no que respeita: (1) à entidade ou entidades da empresa responsáveis pelo processamento, (2) aos dados de contato do Diretor de Privacidade e/ou Diretor de Privacidade de Dados regional/local, (3) à informação a ser coletada, (4) às finalidades para as quais será usada, (5) ao fundamento jurídico para o processamento de dados pela MSD, (6) às pessoas com quem será compartilhada, incluindo quaisquer requisitos para divulgar Informação Pessoal, em resposta a exigências legais por parte das autoridades públicas, (7) à possibilidade e ao modo como a MSD poderá transferir a Informação Pessoal para outros países incluindo para países terceiros e fora do EEE sempre que relevante , adequado, e viável, (8) ao período de tempo em que será conservada ou os critérios que a MSD utilizará para determinar este período de conservação, (9) à forma como podem colocar uma questão, comunicar uma preocupação ou exercer os seus direitos relativamente à Informação Pessoal que lhes diga respeito, (10) a como podem retirar qualquer consentimento que tenham dado, (11) ao seu direito de apresentar uma reclamação junto de uma autoridade de controle, (12) a qualquer obrigação de fornecer Informações Pessoais e as consequências do descumprimento desta obrigação, (13) a qualquer decisão automatizada, incluindo definição de perfis, que podemos realizar, e (14) ao endereçãmento para esta Política, sempre que possível e adequado. Nossos avisos de privacidade para muitas das nossas partes interessadas estão disponíveis on-line em http://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.html.
    • Quando a Informação Pessoal for obtida através de observação, sensores ou outros meios indiretos, pode não ser possível providenciar um aviso de privacidade diretamente ao indivíduo, no momento em que a informação é coletada. Em tais casos, asseguramos transparência ao indivíduo através de outros meios, tais como publicações ou impressos no dispositivo ou materiais associados ao dispositivo onde irá obter a informação.
    • Quando a Informação Pessoal for coletada através do site, aplicação móvel ou outra aplicação ou recurso online, aplicamos normas específicas de tecnologia definidas na nossa Política de Privacidade de Internet e no nosso Compromisso de Privacidade de Cookies para garantir que os requisitos, para haver transparência de acordo com esta Política, foram cumpridos.
    • Quando a Informação Pessoal for coletada de outras fontes e não especificamente a pedido da nossa empresa, antes de obter a informação, verificamos por escrito que o prestador da informação informou os indivíduos sobre as formas e objetivos para os quais a nossa empresa pretende usar a informação. Se não puder ser obtida verificação por escrito por parte do prestador da informação, usamos apenas informação anonimizada ou, antes de usar Informação Pessoal, informamos os indivíduos afetados através de um aviso de privacidade ou de meios semelhantes sobre (1) a entidade ou entidades da nossa empresa responsáveis pelo processamento da informação, (2) os dados de contato do Diretor de Privacidade e/ou Diretor de Privacidade de Dados regional/local, (3) que informação a nossa empresa planeja usar, (4) as finalidades para as quais a nossa empresa planeja usá-la, (5) o fundamento jurídico para procedermos o processamento, (6) com quem a nossa empresa irá compartilhá-la, (7) a possibilidade e a forma como a nossa empresa poderá transferir a Informação Pessoal para outros países, incluindo os países relevante incluindo para países terceiros sempre que relevante , adequado, e viável, (8) quanto tempo a nossa empresa planeja conservá-la ou os critérios que utilizará para determinar este período de conservação, (9) como podem fazer perguntas, comunicar uma preocupação ou exercer os seus direitos relativamente à Informação Pessoal que lhes diga respeito, (10) como podem retirar qualquer consentimento que tenham dado, (11) o seu direito de apresentar uma reclamação junto a uma autoridade de controle, (12) qualquer obrigação de fornecer Informação Pessoal e as consequências do descumprimento desta obrigação, (13) qualquer decisão automatizada, incluindo definição de perfis, que vamos realizar, e (14) o endereçamento para esta Política, sempre que possível e adequado.
    • Nos certificamo de que os mecanismos de transparência necessários, incluindo, sempre que possível, mecanismos que suportam os pedidos de direitos individuais, são incorporados nas tecnologias de suporte e que os terceiros, que suportam a atividade ou processo, não processam informação sobre pessoas, de forma que seja inconsistente com a informação que os indivíduos receberam através de um aviso de privacidade ou de outros meios verificáveis sobre aquilo que nós, e outros que trabalham para nós, faremos com a informação.

    4. Limitação de Objetivo – apenas usamos Informação Pessoal de acordo com os princípios da Necessidade e da Transparência.

    • Se novos objetivos comerciais legítimos forem identificados para Informação Pessoal previamente coletada, ou obtermos o consentimento da pessoa em causa para a nova utilização da Informação Pessoal, ou assegurarmos que o novo objetivo comercial é compatível , ou materialmente similar, com as finalidades descritas num aviso de privacidade ou outro mecanismo de transparência, o qual foi previamente fornecido ao indivíduo. Avaliaremos a compatibilidade com base: (1) em qualquer ligação entre as finalidades iniciais e a nova finalidade proposta, (2) nas expectativas razoáveis do indivíduo, (3) na natureza da Informação Pessoal, (4) nas consequências de um processamento posterior para o indivíduo, e (5) nas salvaguardas por nós aplicadas.
    • Não aplicamos este princípio a informação anonimizada ou quando usamos Informação Pessoal apenas para efeitos de pesquisa histórica e científica, e (1) um Comitê de Revisão de Ética, ou outro revisor competente, tenha determinado que o risco de tal utilização para a privacidade e outros direitos dos indivíduos é aceitável e (2) quando aplicamos salvaguardas adequadas para garantir a minimização dos dados, tal como a pesudonimização, e (3) quando toda a restante legislação aplicável é respeitada.
    • Asseguramos que as restrições de limitação de objetivo são incorporadas em qualquer tecnologia de suporte, incluindo quaisquer capacidades de comunicação e compartilhamento de dados a jusante.

    5. Qualidade dos Dados – mantemos a Informação Pessoal correta, completa e atual de acordo com o uso pretendido.

    • Asseguramos que os mecanismos de revisão de dados periódicos são incorporados nas tecnologias de suporte para validar a precisão dos dados face a sistemas de origem e a jusante.
    • Asseguramos que a Informação Sensível é validada como precisa e atual antes da sua utilização, avaliação, análise, comunicação ou outros processamentos que apresentam um risco de injustiça para pessoas, caso sejam usados dados errados ou desatualizados.
    • Sempre que forem efetuadas alterações à Informação Pessoal por parte da nossa empresa, ou terceiros que trabalham para a nossa empresa, asseguramos que essas alterações são comunicadas em tempo hábil às pessoas em causa, sempre que razoavelmente possível.

    6. Segurança – implementamos salvaguardas para proteger Informação Pessoal e Informação Sensível da perda, uso indevido e acesso não autorizado, divulgação, alteração e destruição.

    • Implementamos um programa de segurança de informação abrangente e aplicamos controles de segurança que tem como base a sensibilidade da informação e o nível de risco da atividade, tendo em conta as atuais melhores práticas de tecnologia e o custo de implementação. As nossas políticas de segurança funcional incluem, mas não se limitam a normas sobre a continuidade empresarial e recuperação de desastre, encriptação, gestão de identidade e acesso, classificação de informação, gestão de incidente de segurança de informação, controle do acesso da rede, segurança física e gestão de risco.

    7. Transferência de Dados – Somos responsáveis pela preservação e preservamos as proteções de privacidade para Informação Pessoal quando é transferida para ou a partir de outras organizações ou entre fronteiras de países.

    (1) Transferimos Informação Pessoal no seio da Empresa sempre que se verificarem as seguintes situações:

    (1) o compartilhamento é necessário para dar cumprimento à finalidade para a qual a Informação Pessoal foi inicialmente coletada ou para outro interesse legítimo da empresa, (2) a finalidade para a qual será compartilhada e o fato de que será compartilhada é compatível com o aviso de privacidade ou outro mecanismo de transparência anteriormente fornecido ou indicado à pessoa em causa quando a Informação Pessoal foi inicialmente coletada, tendo a pessoa em causa dado o seu consentimento, quando necessário, (3) sempre que uma das nossas subsidiárias atue exclusivamente em nome de outra nossa subsidiária no processamento da Informação Pessoal, (4) sempre que exigido por Lei, as referidas subsidiárias da nossa empresa executarão um contrato interno de processamento de dados, nos termos do Princípio 8 da presente Política.

    (2) Apenas transferimos Informação Pessoal para, ou permitimos que seja tratada por terceiros, se os seguintes requisitos forem cumpridos, assumindo nós a responsabilidade de garantir que os terceiros por nós contratados os cumprem igualmente:

    • Se a função de terceiros for processar a Informação Pessoal para, ou em nome da nossa empresa, antes de providenciar Informação Pessoal a terceiros ou envolvendo terceiros: (1) efetuamos a devida diligência de privacidade para avaliar as práticas de privacidade e riscos associados àqueles terceiros, (2) obtivemos garantias contratuais dos terceiros em como irão tratar a Informação Pessoal apenas de acordo com as instruções da nossa empresa e de acordo com esta Política, incluindo sem limitação todos os 8 Princípios de Privacidade e as outras normas definidas nesta Política, e nas Leis em vigor, e de que vão notificar rapidamente a nossa empresa de qualquer Incidente de Privacidade, incluindo uma eventual incapacidade de cumprir as normas definidas nesta Política e Leis aplicáveis, ou Incidente de Segurança, colaborando para: (1) remediar de imediato qualquer Incidente comprovado (2) e para abordar os direitos individuais definidos na Seção 2 abaixo, (3) que não irão contratar outra empresa para proceder ao processamento da Informação Pessoal sem a nossa autorização, por escrito, (4) e sem que seja celebrado um contrato que estabeleça obrigações equivalentes de proteção de dados, (5) que irão proceder à eliminação de, ou nos devolver, toda a Informação Pessoal depois de nos terem prestados os serviços a nós ou a nosso pedido e , (6) que vão permitir à nossa empresa auditar e monitorar as suas práticas durante o processamento em termos de conformidade com esses requisitos. Adicionalmente, se os terceiros processam a Informação Pessoal que tem origem num país ou território com uma lei que restringe a transferência da Informação Pessoal, vamos assegurar que a transferência para os terceiros cumpre os requisitos para a transferência de dados transfronteiriça descrita no (3) abaixo. Se a função dos terceiros for fornecer Informação Pessoal à nossa empresa, antes de obter Informação Pessoal dos terceiros, asseguramos que os requisitos de transparência para coletar a Informação Pessoal de outras fontes, e não especificamente por indicação da nossa empresa, foram cumpridos, e obtivemos declarações contratuais de terceiros de que não violam qualquer Lei ou direitos de quaisquer terceiros ao providenciar Informação Pessoal à nossa empresa.
    • Se a função dos terceiros for receber informação da nossa empresa para processamento, que não seja especificamente por indicação da nossa empresa, antes de providenciar informação aos terceiros, nos asseguramos de que a informação foi anonimizada e de que obtivemos garantias por escrito de terceiros, de que a vão usar apenas para os efeitos comerciais definidos no contrato e de acordo com as leis em vigor, e de que não vão tentar reidentificar a informação.
    • Se a transferência para um terceiro for exigida por lei ou necessária para a proteção dos interesses legítimos da pessoa em causa ou da empresa, transferir a informação: (1) para fins de prevenção da fraude, ou para fazer valer ou proteger os direitos e os bens da empresa, (2) para proteger a segurança pessoal dos nossos funcionários ou de terceiros nas nossas instalações, ou (3) para proteger os nossos ativos, através da adoção de medidas corretivas em matéria de segurança, no caso de termos motivos razoáveis para acreditar que ocorreu uma atividade ilícita ou uma falta grave.
    • Se os terceiros são um alvo de aquisição ou participação de controle por parte da nossa empresa, (1) antes de realizar um contrato para adquirir os terceiros ou para adquirir uma participação de controle nos terceiros, efetuamos a devida diligência de privacidade para avaliar as práticas de privacidade e os riscos associados à aquisição daquele terceiro ou de um interesse de controle nesse terceiro e (2) realizamos um contrato de transferência de dados que especifica os termos e condições, sob os quais, a Informação Pessoal pode ser divulgada e as respetivas obrigações da nossa empresa e dos terceiros.
    • Se a função dos terceiros for adquirir a totalidade ou parte do negócio da nossa empresa, antes de compartilhar qualquer Informação Pessoal relativamente a uma alienação de qualquer parte do negócio da nossa empresa, (1) realizamos um contrato de transferência de dados que especifica os termos e condições sob o qual a Informação Pessoal pode ser divulgada ao comprador, incluindo as limitações adequadas, em relação às utilizações permitidas da Informação Pessoal e em conformidade com a norma definida nesta Política e Legislação aplicável (2) revimos todos os elementos de dados sobre as pessoas antes de compartilhar, para avaliar os requisitos de compartilhamento, (3) obtivemos consentimento para compartilhar Informação Pessoal ou Informação Sensível, de acordo com os princípios de Transparência e Limitação de objetivos desta Política, e (4) exigimos que o terceiro notifique, de imediato, a nossa empresa, em relação a qualquer Incidente de Privacidade aplicável, incluindo qualquer descumprimento das normas definidas nesta Política e Legislação aplicável e coopere na reparação imediata de qualquer Incidente comprovado ou suspenda o Processamento da Informação Pessoal em questão.

    (3) Transferimos a Informação Pessoal entre fronteiras de países, incluindo para os Estados Unidos da América, por ou em nome da nossa empresa, de acordo com esta Política. Iremos também aplicar esta Política a transferências da Informação Pessoal de qualquer outro país, ou território, com uma lei que restrinja a transferência da Informação Pessoal, da mesma forma que cumpriremos os requisitos impostos por essas Leis (incluindo a utilização de quaisquer mecanismos necessários para transferências transfronteiriças).

    8. Legalmente Permissível – apenas processamos Informação Pessoal se os requisitos das leis aplicáveis forem cumpridos.

    • Enquanto os outros 7 princípios de privacidade, assim como os requisitos de Direitos Individuais, descritos abaixo, se destinam a assegurar que os requisitos da maioria das leis de proteção de privacidade e dados, que se aplicam ao nosso negócio em todo o mundo, foram cumpridos, em alguns países necessitamos cumprir outro tipo de requisitos, incluindo, mas não se limitando aos seguintes:

      1) Sempre que requerido, obteremos formas específicas de consentimento para determinado processamento da Informação Pessoal, incluindo, mas não se limitando à aprovação do processamento por conselhos de empresa e outros sindicatos de trabalhadores;

      2) Sempre que requerido, registraremos o processamento de Informação Pessoal ou solicitaremos a aprovação junto da autoridade reguladora de proteção de privacidade ou dados, conforme aplicável;

      3) Sempre que requerido, providenciaremos direitos mais abrangentes (por exemplo, de acesso e correção), do que os definidos nesta Política;

      4) Sempre que requerido, limitaremos os períodos de retenção de dados para a Informação Pessoal; e

      5) Sempre que necessário, realizaremos contratos contendo cláusulas contratuais específicas, incluindo contratos para transferências de dados transfronteiriças para terceiros.

      6) Sempre que necessário, divulgaremos informação pessoal em resposta a pedidos legítimos por parte de autoridades públicas, incluindo para cumprir requisitos de segurança nacional ou de cumprimento da lei.

      Em caso de conflito entre esta Política e uma lei aplicável, prevalecerá a norma que ofereça maior proteção aos indivíduos.

  2. 2. Vamos responder com rapidez aos pedidos dos indivíduos para acessar, alterar, corrigir ou eliminar Informação Pessoal, ou exercerem o direito de oposição ao processamento de Informação Pessoal que lhes diga respeito ou de exercício de outros direitos relativamente à Informação Pessoal que lhes diga respeito.
    1. Acesso, correção, eliminação e outros direitos – de acordo com as Leis na maior parte dos países em que operamos, os indivíduos têm o direito de acessar à Informação Pessoal sobre si mesmos e de emendar, corrigir ou eliminar Informação Pessoal que esteja incorreta, incompleta ou desatualizada. Nesse sentido, cumpriremos todos os pedidos de acesso, correção e eliminação de Informação Pessoal de todos os indivíduos, de acordo com a Seção 3a abaixo. Se um pedido de acesso, correção ou eliminação for regido por uma Lei aplicável que prevê maior proteção aos indivíduos, asseguramos que os requisitos adicionais dessa Lei são cumpridos.

      Em alguns países, os indivíduos podem dispor de outros direitos no que diz respeito à Informação Pessoal que lhes diga respeito, tal como o direito de limitar o processamento, de se oporem ao processamento (ver também a Seção 2b infra) e de solicitar que os seus dados sejam transferidos para outro prestador de serviços. Respeitaremos o exercício de direitos sobre dados nos termos das Leis aplicáveis.

    2. Escolha – de acordo com os nossos valores de privacidade de “Respeito” e “Confiança”, honramos pedidos individuais de objeção ao processamento de Informação Pessoal, incluindo, mas não limitado : (1) a opção em não participar em programas ou atividades nas quais concordaram em participar anteriormente, (2) ao processamento de Informação Pessoal acerca de si para comunicações de marketing direto, (3) a comunicações orientadas com base na Informação Pessoal sobre si e (4) a qualquer avaliação de ou decisões sobre si, as quais tenham o potencial de os afetar significativamente, tomadas através da utilização de automação ou algoritmos.
      1. Exceto quando proibido por Lei, podemos recusar a objeção, caso essa escolha em particular impeça a nossa empresa de: (1) cumprir a Lei ou uma obrigação ética, incluindo nos casos em que somos obrigados a divulgar informação pessoal em resposta a pedidos legítimos por parte de autoridades públicas, incluindo para cumprir requisitos de segurança nacional ou de cumprimento da lei, (2) investigar, efetuar ou defender reivindicações jurídicas, e (3) realizar contratos, administrar relações ou efetuar outras atividades comerciais permitidas que sejam consistentes com os princípios da Transparência e Limitação de Objetivo, e que foram realizadas tendo por base a informação sobre as pessoas em questão. Dentro do prazo de quinze dias úteis, a partir de qualquer decisão de recusa de um pedido de escolha, de acordo com esta Política, documentaremos e comunicaremos a decisão ao solicitante.
  3. 3. Vamos responder rapidamente e escalaremos todas as questões, queixas, preocupações sobre privacidade e qualquer Incidente de Privacidade ou Incidente de Segurança.
    1. Qualquer indivíduo sobre quem processemos Informação Pessoal, no âmbito desta Política, pode enviar uma questão, queixa ou preocupação para a nossa empresa a qualquer momento, incluindo um pedido de uma lista de todas as subsidiárias da nossa empresa que estejam sujeitas a esta Política. Esperamos que os nossos funcionários, e outros que trabalham em nome da nossa empresa, avisem imediatamente caso tenham motivo para acreditar que uma Lei aplicável possa impedir o cumprimento desta Política. Qualquer questão, queixa ou preocupação colocada por um Indivíduo, ou qualquer aviso fornecido por um funcionário, ou qualquer outra pessoa que trabalhe em nome da nossa empresa, deve ser enviada para o Departamento de Privacidade Global da MSD:
      1. Por e-mail para: msd_privacy_office@msd.com
      2. Por correio para: Privacy Office, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, USA 19454.
    2. Os funcionários e contratantes têm de informar imediatamente o Departamento de Privacidade Global da MSD, ou o Responsável pela Privacidade designado para a sua área de negócio, sobre quaisquer questões, queixas ou preocupações relacionadas com as práticas de privacidade da nossa empresa.
    3. O Departamento de Privacidade Global da MSD irá avaliar e investigar, ou irá trabalhar com o Departamento de Ética, Jurídico e/ou Compliance para investigar todas as questões, queixas ou preocupações relacionadas com as práticas de privacidade da empresa, quer recebidas diretamente dos funcionários ou outros indivíduos ou através de terceiros, incluindo, mas não limitado a agências reguladoras, agentes de responsabilização ou outras autoridades governamentais. Vamos responder ao indivíduo ou à entidade que colocou a questão, queixa ou preocupação à nossa empresa, no prazo de trinta (30) dias de calendário, exceto se a Lei ou o solicitante terceiro exigir uma resposta num período inferior, ou exceto se as circunstâncias, tal como uma investigação governamental, obriguem a um período mais alargado, em cujo caso o indivíduo ou o solicitante terceiro será notificado por escrito, assim que possível, sobre a natureza geral das circunstâncias que levem ao atraso.
    4. O Departamento de Privacidade Global da MSD, em coordenação com o Departamento Jurídico e de Compliance, irá cooperar na resposta a qualquer questão, inspeção ou investigação de uma autoridade reguladora responsável por questões de privacidade.
    5. Para queixas que não possam ser resolvidas entre a nossa empresa e o indivíduo que as colocou, a nossa empresa concordou em participar nos seguintes procedimentos de resolução de disputas na investigação e resolução de queixas para resolver disputas de acordo com esta Política, contudo, a qualquer momento, os indivíduos residentes no EEE ou indivíduos cuja Informação Pessoal esteja sujeita à Lei de proteção de dados do EEE e seja transferida para o exterior do EEE, podem também basear-se na norma 3.f. abaixo:
      1. para disputas que envolvam toda a Informação Pessoal recebida pela nossa empresa a partir da Suíça, a nossa empresa concordou em cooperar com o “FDPIC Suíço”;
      2. para disputas que envolvam transferências de Informação Pessoal para os Estados Unidos, relacionada com atividades dos recursos humanos e coletada no contexto de uma relação laboral no EEE, a nossa empresa compromete-se igualmente a colaborar com as autoridades competentes de proteção de dados na U.E;
      3. para disputas que envolvam a restante Informação Pessoal prevista na presente Política, incluindo mas não se limitando às disputas envolvendo a conformidade da nossa empresa com as Regras de Privacidade Transfronteiriças (RPT) da Cooperação Econômica Ásia-Pacífico (“CEAP”), ou o EU-U.S. and Swiss-US Privacy Shield, a nossa empresa concordou com a resolução de disputas pela TRUSTe, uma entidade mediadora de resolução de disputas estabelecida nos Estados Unidos. Os indivíduos que enviem uma questão à nossa empresa e que não recebam a devida confirmação, ou que pensem que a sua questão ou preocupação não foi respondida de forma satisfatória, devem contatar o Programa de Resolução de Disputas TRUSTe na Internet, por correio ou fax. As questões colocadas por correio ou fax devem identificar a Merck & Co., Inc. ou MSD como a empresa à qual a questão ou preocupação foi enviada, e incluir uma descrição da preocupação relativa à privacidade, o nome do indivíduo que envia a questão, e se a TRUSTe pode compartilhar as informações da questão com a empresa. A TRUSTe irá atuar como ligação à nossa empresa para resolver as disputas.
        1. Online
        2. Fax: +1-415-520-3420
        3. Correio: Watchdog Complaints, TRUSTe, 835 Market Street, Suite 800, Box 137 San Francisco, CA, USA 94103-1905
      4. Para obter informação sobre a TRUSTe ou o funcionamento do processo de disputa da TRUSTe, visite a TRUSTe na Internet ou solicite esta informação à TRUSTe, por correio ou fax, usando a informação de contato indicada acima. O processo de resolução de disputa da TRUSTe será realizado em inglês;
      5. Em relação a qualquer disputa decorrente do Swiss-US Privacy Shield, que não seja resolvida pelos pontos enumerados nesta seção, os indivíduos têm a opção de invocar a arbitragem vinculativa, de acordo com os procedimentos das Autoridades de Proteção da Privacidade definidas no EU-US Privacy Shield.
    6. Todos os indivíduos que residirem no EEE, ou indivíduos cuja Informação Pessoal esteja sujeita à Lei de proteção de dados do EEE e seja transferida para fora do EEE, sobre quem a informação é processada de acordo com esta Política, têm o direito de acordo com esta Política, a qualquer momento, de aplicar os requisitos desta Política como terceiros beneficiários, incluindo o direito de interpor uma ação judicial para procurar compensações pela violação dos seus direitos de acordo com esta Política (conforme estabelecido na Seção 2 supra) e o direito de receber uma indenização por prejuízos resultantes de tais violações. Os indivíduos que residam no EEE ou indivíduos cuja Informação Pessoal esteja sujeita à Lei de proteção de dados do EEE e seja transferida para fora do EEE (para efeitos de clareza, incluindo para os EUA), podem submeter uma ação ou apresentar uma reclamação sob a presente Política contra a Merck, Sharp & Dohme (Europe) Inc. – Filial da Bélgica (“MSD Europa”):
      1. Nos tribunais ou junto da autoridade de proteção de dados no país do EEE, a partir do qual a Informação Pessoal sobre si foi transferida,
      2. Nos tribunais ou junto da autoridade de proteção de dados do país do EEE de sua residência, ou
      3. Nos tribunais da Bélgica ou junto da Comissão de Privacidade Belga.
    7. A nossa empresa irá responder ao indivíduo ou à entidade que realizou a pergunta, queixa ou preocupação à nossa empresa no prazo de trinta (30) dias corridos, exceto se uma Lei ou o solicitante terceiro requerer uma resposta num período mais curto de tempo, ou exceto se as circunstâncias necessitarem de um período de tempo mais longo, em cujo caso, o indivíduo ou solicitante terceiro será notificado por escrito.
  4. 4. Somos responsáveis por manter os nossos padrões e valores de privacidade.
    1. A subsidiária da nossa empresa responsável por uma ação que origine um Incidente de Privacidade ou Incidente de Segurança substanciado é responsável financeiramente, pela quantia de qualquer reivindicação por danos, multa ou penalização devido ao Incidente de Privacidade ou Incidente de Segurança.
      1. Em coordenação e sob indicação do Departamento de Privacidade Global da MSD, a MSD Europa é responsável por garantir que são tomadas as ações necessárias para lidar com quaisquer alegadas violações desta Política por subsidiárias da nossa empresa fora do EEE, afetando indivíduos que residam no EEE ou indivíduos cuja Informação Pessoal esteja sujeita à Lei de proteção de dados do EEE e seja transferida para fora do EEE, e quando solicitado, pagar as multas, penalizações ou prejuízos devido a violações desta Política, afetando indivíduos que residam no EEE ou indivíduos cuja Informação Pessoal esteja sujeita às Leis de proteção de dados do EEE e seja transferida para fora do EEE. Com o apoio do Departamento de Privacidade Global da MSD e da subsidiária da nossa empresa fora do EEE responsável pela alegada violação, a MSD Europa será responsável por demonstrar que a nossa empresa não é responsável pela alegada violação. Sempre que outra subsidiária da nossa empresa for responsável pela ação que levou à multa, penalização ou atribuição de prejuízos, tal subsidiária pode ter de reembolsar, imediatamente, a MSD Europa por quaisquer montantes pagos pela MSD Europa. Em caso de violação da presente Política por uma subsidiária da nossa empresa localizada fora do EEE, os tribunais ou as autoridades de proteção de dados do EEE têm jurisdição, dispondo o indivíduo afetado dos direitos e recursos contra a MSD Europa, estabelecidos na Seção 3.f supra.
      2. Em coordenação com e sob indicação do Departamento de Privacidade Global da MSD, a Merck Sharp & Dohme Corp. é responsável por garantir que as ações necessárias são realizadas para lidar com quaisquer alegadas violações desta Política, afetando indivíduos que residam fora do EEE e, onde necessário, pagar as multas, penalizações ou prejuízos atribuídos por violações desta Política, afetando indivíduos que residam fora do EEE ou indivíduos cuja Informação Pessoal não esteja sujeita à Lei de proteção de dados do EEE. Sempre que outra subsidiária da nossa empresa for responsável pela ação que levou à multa, penalização ou atribuição de danos, tal subsidiária pode ter de reembolsar, imediatamente, a Merck Sharp & Dohme Corp. relativamente aos valores pagos pela Merck Sharp & Dohme Corp.

Supervisão e Monitoramento

De modo a fornecer garantias aos reguladores e outras partes interessadas em como a nossa empresa é responsável pelo compromisso assumido de cumprimento de práticas de privacidade éticas e responsáveis, a empresa mantém um grupo de governança de supervisão e monitoramento abrangente, dirigido por um Diretor de Privacidade com um Departamento de Privacidade Global (GPO) especializado, um DPO (Data Protection Officer – Encarregado da Proteção de Dados para a UE, um DPO por País, quando exigido por lei ou pelas autoridades locais e Responsáveis de Privacidade dedicados, que são nomeados por Líderes Sêniores e servem como ligação entre o Departamento de Privacidade Global da MSD e as áreas organizacionais nas quais trabalham.

A nossa empresa irá apoiar-se em Agentes de Responsabilidade de Privacidade que são responsáveis, de acordo com as Leis, por verificar periodicamente a conformidade da empresa com os requisitos desta Política e as ditas Leis, incluindo Regras de Privacidade Transfronteiriças - RPT da CEAP.

Além das análises das garantias sob a gestão do Departamento de Privacidade Global da MSD, serão realizadas auditorias internas e externas e os times de conformidade irão conduzir revisão de compliance de modo a verificar a adesão da MSD à presente Política, incluindo todas as políticas, procedimentos, normas e orientações subordinadas à presente Política. Serão ainda desenvolvidos e aplicados planos de ação corretiva e preventiva com vista a colmatar lacunas observadas pelas equipes de auditoria e garantia de fiabilidade. Os resultados do Programa de Auditoria serão comunicados ao Diretor de Privacidade e à Comissão de Proteção de Dados, responsáveis por transmitir os resultados conforme descrito na presente Política.

As Autoridades de Proteção de Dados e Privacidade que aprovaram esta política ou que têm jurisdição sobre as práticas da nossa empresa, de acordo com esta Política, têm o direito de verificar a nossa conformidade com a mesma. Cumpriremos a informação destas autoridades competentes relativamente à interpretação e aplicação desta Política.

Termos que você precisa saber

  • A nossa empresa. A Merck & Co., Inc. (Kenilworth, NJ, EUA), seus sucessores, subsidiárias e divisões globais, excluindo joint-ventures de que a nossa empresa faça parte.
  • Anonimização. A alteração, truncagem, obliteração ou outra redação ou modificação da Informação Pessoal, de modo a impossibilitar, de forma irreversível, a sua utilização para identificar, localizar ou contatar um indivíduo, quer isoladamente ou em conjunto com outra informação.
  • Incidente de privacidade. Uma violação ou descumprimento desta Política, ou de uma Lei da privacidade ouproteção de dados, e inclui um Incidente de Segurança. A determinação da ocorrência de um incidente de privacidade, e se é material, deve ser realizada pelo Departamento de Privacidade Global da MSD, pela área de Gestão de Riscos e Segurança da Informação (Information Technology Risk Management and Security, ITRMS) e pelo Departamento do Diretor Jurídico.
  • Incidente de segurança. Uma quebra da segurança que conduz à destruição, perda e alteração acidentais ou ilícitas, e à divulgação ou o acesso não autorizados a Informação Pessoal, ou que leva a nossa empresa a razoavelmente acreditar na sua ocorrência. O acesso à Informação Pessoal por ou em nome da nossa empresa, sem a intenção de violar esta Política, não constitui um Incidente de Segurança, desde que a Informação Pessoal acessada seja ainda usada e divulgada apenas como permitido por esta Política.
  • Informação Pessoal. Quaisquer dados relacionados com um indivíduo identificado ou identificável, incluindo dados que identifiquem um indivíduo ou que possam ser usados para identificar, localizar, monitorar ou contatar um indivíduo. A Informação Pessoal inclui informação diretamente identificável, tal como nome, número de identificação ou cargo único, e informação indiretamente identificável, tal como data de nascimento, número de celular único ou identificador de dispositivo utilizado, número de telefone, bem como dados codificados com chave e identificadores online, tal como endereços IP.
  • Informação Sensível. Qualquer tipo de informação sobre as pessoas que aporta um risco inerente de potencial dano a indivíduos, incluindo informação definida por lei como sensível, incluindo, mas não limitada à informação relacionada com a saúde, genética, biometria, raça, etnia, religião, opiniões políticas, filosóficas ou crenças, registo criminal, informação de geolocalização precisa, números de contas bancárias ou outras contas financeiras, números de identificação emitidos pelo governo, com crianças menores, vida sexual, orientação sexual, afiliação em sindicato, seguros, segurança social e outros benefícios do empregador ou emitidos pelo governo.
  • Lei. Todas as leis, regras, regulamentos e ordens de opinião aplicáveis com força de lei em qualquer país no qual a nossa empresa opera ou no qual a Informação Pessoal é processada por, ou em nome da nossa empresa. Isto inclui todos os acordos-quadro de acordo com os quais a nossa empresa foi aprovada ou certificada, incluindo as Regras de Privacidade Transfronteiriça (“RPT”) da Cooperação Econômica Ásia-Pacífico (“CEAP”), o EU-U.S. and Swiss-US Privacy Shield – sob os poderes de investigação e aplicação da legislação da “U.S. Federal Trade Commission” (Comissão Comercial Federal dos Estados Unidos).
  • Processamento. Realizar qualquer operação ou conjunto de operações sobre informação de pessoas, quer sejam ou não por meios automáticos, incluindo, mas não limitando à coleta, gravação, organização, armazenamento, acesso, adaptação, alterações, recuperação, consulta, utilização, avaliação, análise, comunicação, compartilhamento, divulgação, disseminação, transmissão, disponibilização, alinhamento, combinação, bloqueio, eliminação, retificação ou destruição.
  • Terceiro. Qualquer entidade legal, associação ou pessoa que não seja detida pela nossa empresa ou na qual a nossa empresa não tenha participação de controle, ou que não seja contratada pela nossa empresa. Exceto como expressamente definido nesta Política, nenhuma subsidiária ou divisão da nossa empresa terá de cumprir os requisitos de um terceiro de acordo com esta política, uma vez que é requerido a todas as subsidiárias ou divisões que processem informação sobre pessoas de acordo com esta Política, incluindo em circunstâncias onde uma das subsidiárias da nossa empresa apoia uma ou mais subsidiárias da nossa empresa relativamente ao processamento.

Alterações a esta Política

Esta política pode ser revista ocasionalmente, de acordo com os requisitos da Lei aplicável. Será publicado, durante 60 dias, um aviso na página sobre privacidade da nossa empresa (www.msdprivacy.com) sempre que esta Política seja alterada.

Data de Entrada em Vigor

30 de abril de 2018

TRUSTeTRUSTeThis Web Accessibility icon serves as a link to download eSSENTIAL Accessibility assistive technology software for individuals with physical disabilities. It is being featured as part of a Disability Community Involvement initiative that reflects our commitment to Diversity, Inclusion,Corporate Citizenship and Social Responsibility.
Twitter IconLinkedin Icon

Copyright © 2009-2018 Merck Sharp & Dohme Corp., uma subsidiária da Merck & Co., Inc. Kenilworth, NJ, USA. Todos os direitos reservados. Este website é mantido pela Merck Sharp & Dohme Corp., uma subsidiária da Merck & Co., Inc., Kenilworth, NJ, USA.