Política sobre Regras Globais de Privacidade Transfronteiriça

Data da revisão: 1 de setembro de 2023
Data de Entrada em Vigor: 1 de setembro de 2023

Tentamos realizar a nossa atividade de acordo com os nossos valores de privacidade porque acreditamos que demonstram um compromisso inabalável para com práticas éticas e responsáveis. Reconhecemos que a inovação e a nova tecnologia promovem uma alteração contínua dos riscos, expetativas e leis, por isso cumprimos normas de responsabilidade sobre privacidade e tentamos adaptar-nos a elas em resposta a essas alterações.

Esta Política define as nossas normas globais para gestão e proteção de Informação Pessoal, por ou em nome da nossa empresa, independentemente do respetivo país de origem ou para o qual a Informação Pessoal possa ser transferida. A mesma, descreve os principais compromissos que apoiam o cumprimento da nossa certificação de Regras de Privacidade Transfronteiriça APEC, das nossas Regras Empresariais Obrigatórias (Binding Corporate Rules, BCR), aprovadas na União Europeia e da nossa autocertificação para o Programa Quadro de Privacidade de Dados UE-EUA (DPF), Extensão do Reino Unido para DPF e o Programa Quadro de Privacidade de Dados Suíça-EUA.

A nossa empresa está em conformidade com o Programa Quadro de Privacidade de Dados (UE-EUA DPF), a extensão do Reino Unido à UE-EUA DPF e o Programa Quadro de Privacidade de Dados (Suíça-EUA DPF) conforme estabelecido pelo Departamento de Comércio dos EUA. Certificámos junto do Departamento de Comércio dos EUA que aderimos aos Princípios do Quadro de Privacidade de Dados (UE-EUA Princípios DPF) no que diz respeito ao processamento de dados pessoais recebidos da União Europeia com base no DPF UE-EUA e do Reino Unido (e Gibraltar) com base na extensão do Reino Unido ao DPF UE-EUA . Certificámos junto do Departamento de Comércio dos EUA que aderimos aos Princípios do Programa Quadro de Privacidade de Dados (Princípios DPF Suíça-EUA ) no que diz respeito ao processamento de dados pessoais recebidos da Suíça com base no DPF Suíça-EUA. Se houver qualquer conflito entre os termos desta política e os termos dos Princípios DPF UE EUA e/ou os Princípios do DPF Suíça EUA, os Princípios regerão. Para saber mais sobre o programa Quadro de Privacidade de Dados (DPF) e ver a nossa certificação, consulte https://www.dataprivacyframework.gov/.

Esta Política aplica-se às nossas operações em todos os países, a todas as atividades que realizemos que envolvam informação acerca de pessoas em todas as subsidiárias e todas as divisões (incluindo por quaisquer sucessores do nosso negócio), incluindo, mas não limitado às nossas atividades de investigação, fabrico, comércio e apoio empresarial, e as transferências de dados necessárias para realizar essas atividades, incluindo, mas não se limitando a:

• Investigação e Fabrico: avaliar as necessidades e oportunidades para inovação médica e de saúde; iniciar, gerir e financiar estudos de investigação; avaliar e comunicar com investigadores, membros de comités científicos e éticos e parceiros de negócios para apoiar os nossos estudos de investigação e o desenvolvimento dos nossos produtos; recrutamento para estudos de investigação; avaliar a segurança, eficácia e qualidade dos nossos produtos de investigação e daqueles que comercializamos; corresponder às obrigações de segurança e qualidade de produto, incluindo gerir e comunicar eventos adversos e queixas sobre a qualidade do produto; solicitar aprovação e registo dos nossos produtos junto de autoridades reguladoras; e cumprir requisitos legais, regulatórios ou éticos associados;
• Comercial: avaliar os mercados para os nossos produtos; publicitar, comercializar, vender, distribuir e providenciar os nossos produtos; comunicar e criar relações com clientes profissionais de cuidados de saúde, entidades pagadoras de serviços de saúde, pacientes e outros usuários finais dos nossos produtos, bem como cuidadores daqueles que usam os nossos produtos; patrocinar e realizar eventos; avaliar e comunicar com parceiros de negócios para apoiar as nossas atividades comerciais; e cumprir os requisitos legais, regulatórios ou éticos associados;
• Atividades Corporativas e Institucionais : recrutar, contratar, gerir, desenvolver, comunicar com e remunerar os funcionários; administrar benefícios dos funcionários e seus dependentes; realizar avaliações de desempenho e talento de funcionários, treinamentos e outros programas de aprendizagem e desenvolvimento; realizar audiências disciplinares e de reclamações de funcionários; gerir preocupações de ética e efetuar investigações; gerir e proteger os nossos ativos físicos, virtuais e infraestrutura; aprovisionar e pagar bens e serviços; cumprir os nossos compromissos ambientais, de saúde e segurança e outros de responsabilidade corporativa; comunicar com a , midia; e cumprir os requisitos legais, regulamentares ou éticos associados.

Esta Política também se aplica a todas as pessoas sobre quem processamos informação, incluindo, mas não se limitando aos nossos clientes profissionais de cuidados de saúde e outros clientes; potenciais, atuais e antigos funcionários e os seus dependentes, pacientes, cuidadores, investigadores e participantes em estudos de investigação, membros de comité de ética e científico, parceiros comerciais, investidores e acionistas, responsáveis governamentais e outras partes interessadas.

Todos os Funcionários da Empresa e Responsáveis Máximos têm responsabilidades de privacidade fundamentais que devem manter.

Reconhecemos que equívocos e erros, inadvertidos ,relacionados com a proteção da informação sobre pessoas, possam originar riscos de privacidade para indivíduos e riscos reputacionais, operacionais, financeiros e de conformidade para a nossa Empresa. Proporcionaremos treinamento adequado sobre a presente Política a todos os funcionários e outros membros do pessoal que tenham acesso permanente ou regular a Informações Pessoais, que estejam envolvidos na recolha, ou acesso de dados, ou no desenvolvimento de ferramentas utilizadas no tratamento de Informações Pessoais. Cada funcionário da nossa empresa, e outros que processam informação sobre pessoas da nossa empresa, é responsável por compreender e manter as suas obrigações ao abrigo desta Política e leis aplicáveis.

Os nossos valores e normas de privacidade

Mantemos os nossos valores de privacidade em tudo o que fazemos que envolva pessoas, incluindo como aplicamos as nossas normas de privacidade. Os nossos quatro valores de privacidade são:

Respeito	Confiança	Prevenção de danos	Conformidade
Reconhecemos que as preocupações de privacidade estão muitas vezes relacionadas com a essência de quem somos, como vemos o mundo e como nos definimos. Esforçamos-nos, por isso, por respeitar as perspectivas e interesses dos indivíduos e comunidades, e por sermos justos e transparentes no modo como usamos e partilhamos a informação que nos prestam.	Sabemos que a confiança é vital para o nosso sucesso, por isso, envidamos todos os esforços para criar e preservar a confiança dos nossos clientes, funcionários, pacientes e outras partes interessadas, em como respeitamos a privacidade e protegemos informação pessoal.	Compreendemos que o uso indevido da informação pessoal possa criar danos tangíveis e intangíveis aos indivíduos, por isso, procuramos evitar danos físicos, financeiros, reputacionais e outros tipos de danos de privacidade aos indivíduos.	Aprendemos que as leis e regulamentos não podem acompanhar sempre a rápida mutação das tecnologias, fluxos de dados e mudanças associadas nos riscos e expectativas de privacidade, por isso, envidamos esforços para cumprir o espírito e letra das leis e regulamentos de proteção de dados e privacidade, de uma forma que incentive a consistência e eficiência operacional das nossas operações comerciais globais.

1. Incorporamos as nossas normas de privacidade em todas as atividades, processos, tecnologias e relações com terceiros que usam Informação Pessoal. Também incorporamos controlos de privacidade nos nossos processos e tecnologias que sejam consistentes com os nossos valores de privacidade e normas e a legislação aplicável. Os nossos 8 princípios de privacidade indicados abaixo resumem as nossas normas de privacidade e principais requisitos para os processos, atividades e as suas tecnologias de suporte a um nível elevado.

   Princípios de Privacidade	Os nossos Principais Compromissos
   1. Necessidade – antes de recolher, usar ou partilhar Informação Pessoal, definimos e documentamos os objetivos comerciais, de investigação ou institucionais específicos e legítimos para os quais são necessários.	Determinamos e documentamos por quanto tempo a Informação Pessoal é necessária para dar cumprimento aos objetivos comerciais definidos e requisitos legais aplicáveis. Não recolhemos, usamos ou partilhamos mais Informação Pessoal que a necessária nem a retemos numa forma identificável durante mais tempo do que o necessário, para dar cumprimento aos objetivos comerciais definidos e requisitos legais aplicáveis. Tornamos os dados anónimos quando os requisitos dos objetivos necessitam que a informação sobre a atividade, ou processo, seja retida durante um período maior. Asseguramos que esses requisitos de necessidade sejam incorporados em qualquer tecnologia de suporte e que sejam comunicados a terceiros que suportam a atividade ou processo.
   2. Justiça – não processamos a Informação Pessoal de forma a que seja injusto para as pessoas com as quais se relacionam os dados.	Determinamos se a recolha, uso ou outros processos propostos de tratamento de Informação Pessoal apresentam um risco provável e/ou grave de danos tangíveis ou intangíveis a indivíduos de acordo com o nosso valor de privacidade de Prevenção de Danos. Se a natureza dos dados, tipos de pessoas ou a atividade apresentarem um risco provável e/ou grave de danos tangíveis ou intangíveis a indivíduos, asseguramos que o risco de danos é compensado por um benefício correspondente para aqueles indivíduos, ou para a nossa missão de salvar e melhorar vidas, e que é mitigado pelas medidas, garantias e mecanismos que aplicamos. Sempre que o risco pareça sobrepor-se aos benefícios para os indivíduos, aplicamos as medidas de segurança e proteção mais adequadas, informamos os indivíduos deste facto, e solicitamos aconselhamento à autoridade reguladora competente, sempre que possível. Apenas processamos a Informação Sensível ou Informação Pessoal com o consentimento explícito dos indivíduos, como expressamente requerido ou expressamente permitido pela lei aplicável. Quando o risco pareça sobrepor-se aos benefícios para os indivíduos, documentamos a análise de risco e concebemos quaisquer mecanismos necessários para minimizar os riscos na medida do possível.
   3. Transparência – não processamos Informação Pessoal de forma ou para objetivos que não sejam transparentes.	Todos os indivíduos sobre quem a Informação Pessoal é processada ao abrigo desta Política terão o direito a uma cópia desta Política. Disponibilizaremos cópias desta Política online em https://www.msdprivacy.com/index.html. O Gabinete de Privacidade Global da MSD providenciará cópias eletrónicas e/ou em papel desta Política, a pedido, para os endereços listados abaixo. Quando a Informação Pessoal é recolhida diretamente de indivíduos, informá-los-emos, antes de proceder à recolha das informações e através de um aviso de privacidade claro, evidente e de fácil acesso, ou de meios similares, no que respeita: (1) à entidade ou entidades da empresa responsáveis pelo tratamento, (2) aos dados de contacto do Diretor de Privacidade e/ou Diretor de Privacidade de Dados regional/local, (3) à informação a ser recolhida, (4) às finalidades para as quais será usada, (5) ao fundamento jurídico para o tratamento de dados, (6) com quem será partilhada, incluindo quaisquer requisitos para divulgar Informação Pessoal, em resposta a exigências legais por parte das autoridades governamentais, (7) à possibilidade e ao modo como poderemos transferir a Informação Pessoal para outros países, incluindo países relevantes onde viável, (8) ao período de tempo em que será conservada ou os critérios que utilizamos para essa determinação, (9) à forma como podem colocar uma questão, comunicar uma preocupação ou exercer os seus direitos relativamente à Informação Pessoal que lhes diga respeito, (10) a como podem retirar qualquer consentimento que tenham dado, (11) ao seu direito de apresentar uma reclamação junto de uma autoridade de supervisão, (12) a qualquer obrigação de fornecer Informações Pessoais e as consequências de não o fazer, (13) a qualquer decisão automatizada, incluindo perfilagem, que poderemos levar cabo e (14) a uma ligação para esta Política, sempre que possível e adequado. Os nossos abrangentes avisos de privacidade para muitas de nossas partes interessadas estão disponíveis online em http://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.html Quando a Informação Pessoal é obtida através de observação, sensores ou outros meios indiretos, pode não ser possível providenciar um aviso de privacidade diretamente ao indivíduo, no momento em que a informação é recolhida. Em tais casos, asseguramos transparência ao indivíduo através de outros meios, tais como publicações ou impressos no dispositivo ou materiais associados ao dispositivo que onde irá obter a informação. Quando a Informação Pessoal é recolhida através do site, aplicação móvel ou outra aplicação ou recurso online, aplicamos normas específicas de tecnologia definidas na nossa Política de Privacidade de Internet e na nossa Compromisso de Privacidade de Cookies para garantir que os requisitos, para haver transparência de acordo com esta Política, foram cumpridos. Quando a Informação Pessoal é recolhida de outras fontes e não especificamente a pedido da nossa empresa, antes de obter a informação, verificamos por escrito que o prestador da informação informou os indivíduos das formas e objetivos para os quais a nossa empresa tenciona usar a informação. Se não puder ser obtida verificação por escrito por parte do prestador da informação, usamos apenas informação tornada anónima ou, antes de usar Informação Pessoal, informamos os indivíduos afetados através de um aviso de privacidade ou de meios semelhantes sobre (1) a entidade ou entidades da nossa empresa responsáveis pelo tratamento da informação, (2) os dados de contacto do Diretor de Privacidade e/ou Diretor de Proteção de Dados regional/local, (3) que informação a nossa empresa planeia usar, (4) as finalidades para as quais a nossa empresa planeia usá-la, (5) o fundamento jurídico para procedermos o tratamento, (6) com quem a nossa empresa irá partilhá-la, (7) a possibilidade e a forma como a nossa empresa poderá transferir a Informação Pessoal para outros países, incluindo os países relevante incluindo para países terceiros fora do EEE sempre que relevante , adequado, e viável,, (8) quanto tempo a nossa empresa planeia conservá-la ou os critérios que utilizará para determinar este período de conservação, (9) como podem colocar questões, comunicar uma preocupação ou exercer os seus direitos relativamente à Informação Pessoal que lhes diga respeito, (10) como podem retirar qualquer consentimento que tenham dado, (11) o seu direito de apresentar uma reclamação junto de uma autoridade de controlo, (12) qualquer obrigação de fornecer Informação Pessoal e as consequências do incumprimento desta obrigação, (13) qualquer decisão automatizada, incluindo definição de perfis, que levaremos a cabo, e (14) uma ligação para esta Política, sempre que possível e adequado. Certificamo-nos de que os mecanismos de transparência necessários, incluindo, sempre que possível, mecanismos que suportam os pedidos de direitos individuais, são incorporados nas tecnologias de suporte e que os terceiros, que suportam a atividade ou processo, não processam informação sobre pessoas, de forma que seja inconsistente com a informação que os indivíduos receberam através de um aviso de privacidade ou de outros meios verificáveis sobre aquilo que nós, e outros que trabalham para nós, faremos com a informação. Quando solicitamos consentimento, obtemos e documentamos provas do consentimento nas nossas tecnologias de suporte.
   4. Limitação de Objetivo – apenas usamos Informação Pessoal de acordo com os princípios da Necessidade e da Transparência.	Se novos objetivos comerciais legítimos forem identificados para Informação Pessoal previamente recolhida, ou obtemos o consentimento da pessoa em causa para a nova utilização da Informação Pessoal, ou asseguramos que o novo objetivo comercial é compatível, ou materialmente similar, com as finalidades descritas num aviso de privacidade ou outro mecanismo de transparência, o qual foi previamente fornecido ao indivíduo. Avaliaremos a compatibilidade com base: (1) em qualquer ligação entre as finalidades iniciais e a nova finalidade proposta, (2) nas expetativas razoáveis do indivíduo, (3) na natureza da Informação Pessoal, (4) nas consequências de um tratamento posterior para o indivíduo, e (5) nas salvaguardas por nós aplicadas. Não aplicamos este princípio a informação anonimizada ou quando usamos Informação Pessoal apenas para efeitos de pesquisa histórica e científica, e (1) um Comité de Revisão de Ética, ou outro revisor competente, tenha determinado que o risco de tal utilização para a privacidade e outros direitos dos indivíduos é aceitável e (2) aplicámos salvaguardas adequadas para garantir a minimização dos dados, tal como a pesudonimização, e (3) toda a restante legislação aplicável é respeitada. Asseguramos que as restrições de limitação de objetivo são incorporadas em qualquer tecnologia de suporte, incluindo quaisquer capacidades de comunicação e partilha de dados a jusante.
   5. Qualidade dos Dados – mantemos a Informação Pessoal correta, completa e atual de acordo com o uso pretendido.	Asseguramos que os mecanismos de revisão de dados periódicos são incorporados nas tecnologias de suporte para validar a precisão dos dados face a sistemas de origem e a jusante. Asseguramos que a Informação Sensível é validada como precisa e atual antes da sua utilização, avaliação, análise, comunicação ou outros tratamentos que apresentam um risco de injustiça para pessoas, caso sejam usados dados errados ou desatualizados. Sempre que forem efetuadas alterações à Informação Pessoal por parte da nossa empresa ou terceiros que trabalham para a nossa empresa, asseguramos que essas alterações são comunicadas atempadamente às pessoas em causa, sempre que razoavelmente possível.
   6. Segurança – implementamos salvaguardas para proteger Informação Pessoal e Informação Sensível da perda, uso indevido e acesso não autorizado, divulgação, alteração e destruição.	Implementámos um programa de segurança de informação abrangente e aplicamos controlos de segurança que têm como base a sensibilidade da informação e o nível de risco da atividade, tendo em conta as atuais melhores práticas de tecnologia e o custo de implementação. As nossas políticas de segurança funcional incluem, mas não se limitam a normas sobre a continuidade empresarial e recuperação de desastre, encriptação, gestão de identidade e acesso, classificação de informação, gestão de incidente de segurança de informação, controlo do acesso da rede, segurança física e gestão de risco.
   7. Transferência de Dados – Somos responsáveis pela preservação e preservamos as proteções de privacidade para Informação Pessoal quando é transferida para ou a partir de outras organizações ou entre fronteiras de países.	(1) Transferimos Informação Pessoal no seio da Empresa sempre que se verificarem as seguintes situações: (1) a partilha é necessária para dar cumprimento à finalidade para a qual a Informação Pessoal foi inicialmente recolhida ou para a prossecução de outro interesse legítimo da empresa, (2) a finalidade para a qual será partilhada e o facto de que será partilhada é compatível com o aviso de privacidade ou outro mecanismo de transparência anteriormente fornecido ou indicado à pessoa em causa quando a Informação Pessoal foi inicialmente recolhida, tendo a pessoa em causa dado o seu consentimento, quando necessário, (3) sempre que uma das nossas subsidiárias atua exclusivamente em nome de outra nossa subsidiária no tratamento da Informação Pessoal, (4) sempre que exigido por Lei, as referidas subsidiárias da nossa empresa executarão um contrato interno de tratamento de dados, nos termos do Princípio 8 da presente Política. (2) Apenas transferimos Informação Pessoal para, ou permitimos que seja tratada por terceiros, se os seguintes requisitos forem cumpridos, assumindo nós a responsabilidade de garantir que os terceiros por nós contratados os cumprem igualmente: Se a função de terceiros for processar a Informação Pessoal para, ou em nome da nossa empresa, antes de providenciar Informação Pessoal a terceiros ou envolvendo terceiros: (1) efetuamos a devida diligência de privacidade para avaliar as práticas de privacidade e riscos associados àqueles terceiros, (2) obtemos garantias contratuais dos terceiros em como irão tratar a Informação Pessoal apenas de acordo com as instruções da nossa empresa e de acordo com esta Política, incluindo sem limitação todos os 8 Princípios de Privacidade e as outras normas definidas nesta Política, e nas Leis em vigor, e de que vão notificar rapidamente a nossa empresa de qualquer Incidente de Privacidade, incluindo uma eventual incapacidade de cumprir as normas definidas nesta Política e Leis aplicáveis, ou Incidente de Segurança, colaborando para remediar de imediato qualquer Incidente comprovado e para abordar os direitos individuais definidos na Secção 2 abaixo, que não irão contratar outra empresa para proceder ao tratamento da Informação Pessoal sem a nossa autorização, por escrito e sem que seja celebrado um contrato que estabeleça obrigações equivalentes de proteção de dados, que irão proceder à eliminação de, ou devolver-nos, toda a Informação Pessoal depois de nos terem prestados os serviços a nós ou a nosso pedido e que vão permitir à nossa empresa auditar e monitorizar as suas práticas durante o tratamento em termos de conformidade com esses requisitos. Adicionalmente, se os terceiros processam a Informação Pessoal que tem origem num país ou território com uma lei que restringe a transferência da Informação Pessoal, vamos assegurar que a transferência para os terceiros cumpre os requisitos para a transferência de dados transfronteiriça descrita no (3) abaixo. Se a função dos terceiros for fornecer Informação Pessoal à nossa empresa, antes de obter Informação Pessoal dos terceiros, asseguramos que os requisitos de transparência para recolher a Informação Pessoal de outras fontes, e não especificamente por indicação da nossa empresa, são cumpridos, e obtemos declarações contratuais de terceiros de que não violam qualquer Lei ou direitos de quaisquer terceiros ao providenciar Informação Pessoal à nossa empresa. Se a função dos terceiros for receber informação da nossa empresa para tratamento, que não seja especificamente por indicação da nossa empresa, antes de providenciar informação aos terceiros, asseguramo-nos de que a informação foi tornada anónima e de que obtemos garantias por escrito de terceiros de que a vão usar apenas para os efeitos comerciais definidos no contrato e de acordo com as leis em vigor, e que não vão tentar reidentificar a informação. Se a transferência para um terceiro for exigida por lei ou necessária para a proteção dos interesses legítimos da pessoa em causa ou da empresa, poderemos transferir a informação: (1) para fins de prevenção da fraude, ou para fazer valer ou proteger os direitos e os bens da empresa, (2) para proteger a segurança pessoal dos nossos funcionários ou de terceiros nas nossas instalações, ou (3) para proteger os nossos ativos, através da adoção de medidas corretivas em matéria de segurança, no caso de termos motivos razoáveis para acreditar que ocorreu uma atividade ilícita ou uma falta grave. Se os terceiros são um alvo para aquisição ou participação de controlo por parte da nossa empresa, (1) antes de realizar um contrato para adquirir os terceiros ou para adquirir uma participação de controlo nos terceiros, efetuamos a devida diligência de privacidade para avaliar as práticas de privacidade e os riscos associados à aquisição daquele terceiro ou de um interesse de controlo nesse terceiro e (2) realizamos um contrato de transferência de dados que especifica os termos e condições, ao abrigo dos quais, a Informação Pessoal pode ser divulgada e as respetivas obrigações da nossa empresa e dos terceiros. Se a função dos terceiros for adquirir a totalidade ou parte do negócio da nossa empresa, antes de partilhar qualquer Informação Pessoal relativamente a uma alienação de qualquer parte do negócio da nossa empresa, (1) realizamos um contrato de transferência de dados que especifica os termos e condições ao abrigo do qual a Informação Pessoal pode ser divulgada ao comprador, incluindo as limitações adequadas, em relação às utilizações permitidas da Informação Pessoal e em conformidade com a norma definida nesta Política e Legislação aplicável (2) revemos todos os elementos de dados sobre as pessoas antes de partilhar, para avaliar os requisitos da partilha, (3) obtemos consentimento para partilhar Informação Pessoal ou Informação Sensível, de acordo com os princípios de Transparência e Limitação de objetivos desta Política, e (4) exigimos que o terceiro notifique, de imediato, a nossa empresa, em relação a qualquer Incidente de Privacidade aplicável, incluindo qualquer não cumprimento das normas definidas nesta Política e Legislação aplicável e coopere na reparação imediata de qualquer Incidente comprovado ou suspenda o Tratamento da Informação Pessoal em questão. (3) Transferimos a Informação Pessoal entre fronteiras de países, incluindo para os Estados Unidos da América, por ou em nome da nossa empresa, de acordo com esta Política. Iremos também aplicar esta Política a transferências da Informação Pessoal de qualquer outro país, ou território, com uma lei que restrinja a transferência da Informação Pessoal, da mesma forma que cumpriremos os requisitos impostos por essas Leis (incluindo a utilização de quaisquer mecanismos necessários para transferências transfronteiriças para países que não tenham as mesmas normas de proteção de dados que o país de origem).
   8. Legalmente Permissível – apenas processamos Informação Pessoal se os requisitos das leis aplicáveis forem cumpridos.	Enquanto os outros 7 princípios de privacidade, assim como os requisitos de Direitos Individuais, descritos abaixo, se destinam a assegurar que os requisitos da maioria das leis de proteção de privacidade e dados, que se aplicam ao nosso negócio em todo o mundo, foram cumpridos, em alguns países necessitamos de cumprir outro tipo de requisitos, incluindo, mas não se limitando aos seguintes: 1) Sempre que requerido, obteremos formas específicas de consentimento para determinado processamento da Informação Pessoal, incluindo mas não se limitando à aprovação do processamento por conselhos de empresa e outros sindicatos de trabalhadores; 2) Sempre que requerido, registaremos o tratamento de Informação Pessoal ou solicitaremos a aprovação junto da autoridade reguladora de proteção de privacidade ou dados; 3) Sempre que requerido, providenciaremos direitos mais abrangentes (por exemplo, de acesso e correção), do que os definidos nesta Política; 4) Sempre que requerido, limitaremos os períodos de retenção de dados para a Informação Pessoal; e 5) Sempre que necessário, realizaremos contratos contendo cláusulas contratuais específicas, incluindo contratos para transferências de dados transfronteiriças para terceiros. 6) Sempre que necessário, divulgaremos informação pessoal em resposta a pedidos legítimos por parte de autoridades públicas, incluindo para cumprir requisitos de segurança nacional ou de cumprimento da lei. Em caso de conflito entre esta Política e uma lei aplicável, prevalecerá a norma que ofereça maior proteção aos indivíduos.

2. 2. Responderemos com rapidez aos pedidos dos indivíduos para aceder, alterar, corrigir ou eliminar Informação Pessoal, ou exercerem o direito de oposição ao tratamento de Informação Pessoal que lhes diga respeito ou de exercício de outros direitos relativamente à Informação Pessoal que lhes diga respeito.
   1. Acesso, correção, eliminação e outros direitos– de acordo com as Leis na maior parte dos países em que operamos, os indivíduos têm o direito de aceder à Informação Pessoal sobre si mesmos e de emendar, corrigir ou eliminar Informação Pessoal que esteja incorreta, incompleta ou desatualizada. Nesse sentido, cumpriremos todos os pedidos de acesso, correção e eliminação de Informação Pessoal de todos os indivíduos, de acordo com a Secção 3a abaixo. Se um pedido de acesso, correção ou eliminação for regido por uma Lei aplicável que providencia maior proteção aos indivíduos, asseguramos que os requisitos adicionais dessa Lei são cumpridos.

      Em alguns países, os indivíduos podem dispor de outros direitos no que diz respeito à Informação Pessoal que lhes diga respeito, tal como o direito de limitar o tratamento, de se oporem ao tratamento (ver também a Secção 2b infra) e de solicitar que os seus dados sejam transferidos para outro prestador de serviços. Respeitaremos o exercício de direitos sobre dados nos termos das Leis aplicáveis. Alguns direitos, como o direito de apagamento, podem ser limitados, de acordo com outros requisitos regulamentares ou com a necessidade de cumprir com comunicações de conformidade à Lei local, sendo que nesse caso, iremos informá-lo sobre estas limitações, conforme aplicável.

   2. Escolha – de acordo com os nossos valores de privacidade de “Respeito” e “Confiança”, honramos pedidos individuais de objeção ao tratamento de Informação Pessoal, incluindo, mas não limitado : (1) a optar por não participar em programas ou atividades nas quais concordaram em participar anteriormente, (2) ao tratamento de Informação Pessoal acerca de si para comunicações de marketing direto, (3) a comunicações orientadas com base na Informação Pessoal sobre si e (4) a qualquer avaliação de ou decisões sobre si, as quais tenham o potencial de os afetar significativamente, tomadas através da utilização de automação ou algoritmos.
      1. Exceto onde proibido por Lei, podemos recusar a escolha, caso uma escolha em particular impeça a nossa empresa de: (1) cumprir a Lei ou uma obrigação ética, incluindo nos casos em que somos obrigados a divulgar informação pessoal em resposta a pedidos legítimos por parte de autoridades públicas, incluindo para cumprir requisitos de segurança nacional ou de cumprimento da lei, (2) investigar, efetuar ou defender reivindicações jurídicas, e (3) realizar contratos, gerir relações ou efetuar outras atividades comerciais permitidas que sejam consistentes com os princípios da Transparência e Limitação de Objetivo, e que foram realizadas tendo por base a informação sobre as pessoas em questão. Dentro do prazo de quinze dias úteis a partir de qualquer decisão de recusa de um pedido de escolha de acordo com esta Política, documentaremos e comunicaremos a decisão ao solicitante.
3. Responderemos rapidamente e escalaremos todas as questões, queixas, preocupações sobre privacidade e qualquer Incidente de Privacidade ou Incidente de Segurança.
   1. Qualquer indivíduo sobre quem processemos Informação Pessoal, no âmbito desta Política, pode enviar uma questão, queixa ou preocupação para a nossa empresa a qualquer momento, incluindo um pedido de uma lista de todas as subsidiárias da nossa empresa que estejam sujeitas a esta Política. Esperamos que os nossos funcionários, e outros que trabalham em nome da nossa empresa, avisem imediatamente caso tenham motivo para acreditar que uma Lei aplicável possa impedir o cumprimento desta Política. Qualquer questão, queixa ou preocupação colocada por um Indivíduo, ou qualquer aviso providenciado por um funcionário, ou qualquer outra pessoa que trabalhe em nome da nossa empresa, deve ser enviada para o Gabinete de Privacidade Global da MSD:
      1. Por e-mail, para indivíduos que residam no Espaço Económico Europeu (EEE), para: euprivacydpo@msd.com
      2. Caso contrário, por e-mail para: msd_privacy_office@msd.com
      3. Por correio para: Privacy Office, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, USA 19454.
   2. Os funcionários e contratantes têm de informar imediatamente o Gabinete de Privacidade Global, ou o Responsável pela Privacidade designado para a sua área de negócio, sobre quaisquer questões, queixas ou preocupações relacionadas com as práticas de privacidade da nossa empresa.
   3. O Gabinete de Privacidade Global irá avaliar e investigar, ou irá trabalhar com o Gabinete de Ética, Jurídico e/ou Conformidade para investigar todas as questões, queixas ou preocupações relacionadas com as práticas de privacidade da empresa, quer recebidas diretamente dos funcionários ou outros indivíduos ou através de terceiros, incluindo, mas não limitado a agências reguladoras, agentes de responsabilização ou outras autoridades governamentais. Responderemos ao indivíduo ou à entidade que colocou a questão, queixa ou preocupação à nossa empresa, no prazo de trinta (30) dias de calendário, exceto se a Lei ou o solicitante terceiro exigir uma resposta num período inferior, ou exceto se as circunstâncias, tal como uma investigação governamental, obriguem a um período mais alargado, em cujo caso o indivíduo ou o solicitante terceiro será notificado por escrito, assim que possível, sobre a natureza geral das circunstâncias que levem ao atraso.
   4. O Gabinete de Privacidade Global, em coordenação com o Gabinete Jurídico e de Conformidade, irá cooperar na resposta a qualquer questão, inspeção ou investigação de uma autoridade reguladora responsável por questões de privacidade.
   5. Para queixas que não possam ser resolvidas entre a nossa empresa e o indivíduo que as colocou, a nossa empresa concordou em participar nos seguintes procedimentos de resolução de disputas na investigação e resolução de queixas, para resolver disputas de acordo com esta Política, contudo, a qualquer momento, os indivíduos residentes no EEE ou indivíduos cuja Informação Pessoal esteja sujeita à Lei de proteção de dados do EEE e seja transferida para o exterior do EEE, podem também basear-se na norma 3.f. abaixo:
      1. Para disputas que envolvam a transferência de Informação Pessoal relacionada com atividades de recursos humanos no contexto de uma relação laboral do EEE e do Reino Unido para os EUA, a nossa empresa concordou em cooperar com o painel da autoridade de proteção de dados adequada da UE e do Reino Unido.
      2. Para disputas que envolvam a transferência de Informação Pessoal relacionada com atividades de recursos humanos no contexto de uma relação laboral da Suíça para o EUA, a nossa empresa concordou em cooperar com o FDPIC Suíço.
      3. Para disputas que envolvam a transferência de Informação Pessoal no âmbito da conformidade da nossa empresa com o cumprimento das Regras de Privacidade Transfronteiriças (RPT) da Cooperação Económica Ásia-Pacífico (“CEAP”) entre Economias da CEAP, a nossa empresa concordou com a resolução de disputas pelo nosso agente de responsabilização, BBB National Programs. Para obter mais informações sobre o âmbito da nossa participação ou para enviar uma consulta de privacidade através da BBB National Programs, clique no selo oficial localizado na parte inferior desta página.
      4. Para disputas que envolvam a transferência de Informação Pessoal relacionada com atividades que não sejam de recursos humanos através do Programa Quadro de Privacidade de Dados UE-EUA (DPF), Extensão do Reino Unido para DPF e o Programa Quadro de Privacidade de Dados UE-EUA, a nossa empresa concordou em resolver disputas (gratuitamente) por um mecanismo de recurso independente, a Data Privacy Framework Services, operado por BBB National Programs. Se não receber uma confirmação oportuna da sua reclamação ou se a sua reclamação não for tratada de forma satisfatória, consulte https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumers para obter mais informações e registrar uma reclamação.
      5. Para qualquer disputa ao abrigo do Programa Quadro de Privacidade de Dados UE-EUA (DPF), Extensão do Reino Unido para DPF e o Programa Quadro de Privacidade de Dados UE-EUA que não for resolvido através das etapas descritas nesta secção, sob certas condições, os indivíduos podem invocar a arbitragem vinculativa para algumas reclamações residuais não resolvidas por outros mecanismos de reparação. Consulte https://www.dataprivacyframework.gov/s/article/G-Arbitration-Procedures-dpf?tabset-35584=2.
   6. Todos os indivíduos a residir no EEE, ou indivíduos cuja Informação Pessoal esteja sujeita à Lei de proteção de dados do EEE e seja transferida para fora do EEE, sobre quem a informação é processada de acordo com esta Política, têm o direito de acordo com esta Política, a qualquer momento, de aplicar os requisitos desta Política como beneficiários terceiros, incluindo o direito de aplicar uma ação judicial para procurar compensações pela violação dos seus direitos de acordo com esta Política (conforme estabelecido na Secção 2 supra) e o direito de receber uma indemnização por prejuízos resultantes de tais violações. Os indivíduos que residam no EEE ou indivíduos cuja Informação Pessoal esteja sujeita à Lei de proteção de dados do EEE e seja transferida para fora do EEE (para efeitos de clareza, incluindo para os EUA), podem submeter uma ação ou apresentar uma reclamação ao abrigo da presente Política contra a subsidiária da Empresa responsável por exportar a Informação Pessoal para fora do EEE: perante:
      1. A jurisdição do Exportador de Dados localizada no EEE, ou
      2. A jurisdição do país onde está localizado o nosso Responsável Europeu pela Proteção de Dados, ou
      3. As Autoridades de Proteção de Dados Competentes (nomeadamente no Estado Membro da sua residência habitual, local de trabalho ou local da alegada infração), ou
      4. A nossa Autoridade de Proteção de Dados Principal, que instruiu as nossas BCR: a CNIL francesa.
   7. A nossa empresa irá responder ao indivíduo ou à entidade que colocou a questão, queixa ou preocupação à nossa empresa no prazo de trinta (30) dias corridos, exceto se uma Lei ou o solicitante terceiro requerer uma resposta num período mais curto de tempo, ou exceto se as circunstâncias necessitem de um período de tempo mais longo, em cujo caso, o indivíduo ou solicitante terceiro será notificado por escrito.
4. Somos responsáveis por manter os nossos padrões e valores de privacidade.
   1. A subsidiária da nossa empresa responsável por uma ação que origine um Incidente de Privacidade ou Incidente de Segurança substanciado é responsável, financeiramente, pela quantia de qualquer reivindicação por danos, multa ou penalização devido ao Incidente de Privacidade ou Incidente de Segurança.
      1. Em coordenação e sob indicação do Gabinete de Privacidade Global, o Responsável Europeu pela Proteção de Dados é responsável por garantir que são tomadas as ações necessárias para lidar com quaisquer alegadas violações desta Política por subsidiárias da nossa empresa fora do EEE, afetando indivíduos que residam no EEE ou indivíduos cuja Informação Pessoal esteja sujeita à Lei de proteção de dados do EEE e seja transferida para fora do EEE. Quando necessário, Merck, Sharp & Dohme (Europe) Inc., USA – Sucursal Belga (“MSD Europe”) é responsável por pagar as multas, penalizações ou prejuízos devido a violações desta Política, afetando indivíduos que residam no EEE ou indivíduos cuja Informação Pessoal esteja sujeita às Leis de proteção de dados do EEE e seja transferida para fora do EEE. Com o apoio do Gabinete de Privacidade Global e da subsidiária da nossa empresa fora do EEE responsável pela alegada violação, o Responsável Europeu pela Proteção de Dados será responsável por demonstrar que a nossa empresa não é responsável pela alegada violação. Sempre que outra subsidiária da nossa empresa for responsável pela ação que levou à multa, penalização ou atribuição de prejuízos, tal subsidiária pode ter de reembolsar, imediatamente, a MSD Europe por quaisquer montantes pagos pela MSD Europe. Em caso de violação da presente Política por uma subsidiária da nossa empresa localizada fora do EEE, os tribunais ou as autoridades de proteção de dados do EEE têm jurisdição, dispondo o indivíduo afetado dos direitos e recursos contra a empresa subsidiária responsável por exportar a Informação Pessoal para fora do EEE, estabelecidos na Secção 3.f supra.
      2. Em coordenação com e sob indicação do Gabinete de Privacidade Global a Merck Sharp & Dohme LLC. é responsável por garantir que as ações necessárias são realizadas para lidar com quaisquer alegadas violações desta Política, afetando indivíduos que residam fora do EEE e, onde necessário, pagar as multas, penalizações ou prejuízos atribuídos por violações desta Política, afetando indivíduos que residam fora do EEE ou indivíduos cuja Informação Pessoal não esteja sujeita à Lei de proteção de dados do EEE. Sempre que outra subsidiária da nossa empresa for responsável pela ação que levou à multa, penalização ou atribuição de danos, tal subsidiária pode ter de reembolsar, imediatamente, a Merck Sharp & Dohme LLC. relativamente aos valores pagos pela Merck Sharp & Dohme LLC.

Supervisão e Monitorização

De modo a fornecer garantias aos reguladores e outras partes interessadas em como a nossa empresa é responsável pelo compromisso assumido de cumprimento de práticas de privacidade éticas e responsáveis, a empresa mantém um grupo de governação de supervisão e monitorização abrangente, dirigido por um Diretor de Privacidade com um Gabinete de Privacidade Global (GPO) especializado, um DPO (Data Protection Officer – Encarregado da Proteção de Dados para a UE, um DPO por País, quando exigido por lei ou pelas autoridades locais, e Responsáveis de Privacidade, que são nomeados por Responsáveis Máximos e servem como ligação entre o Gabinete de Privacidade Global e as áreas organizacionais nas quais trabalham.

A nossa empresa irá apoiar-se em Agentes de Responsabilidade de Privacidade que são responsáveis, de acordo com as Leis, por verificar periodicamente a conformidade da empresa com os requisitos desta Política e as ditas Leis, incluindo RPT Regras de Privacidade Transfronteiriças da CEAP.

Para além das revisões de garantia geridas pelo Gabinete de Privacidade Global, equipas de auditoria e de garantia internas e externas irão realizar revisões de conformidade para verificar se a Empresa está a cumprir esta Política, incluindo quaisquer políticas, procedimentos, normas e orientações subordinados a esta Política. Serão desenvolvidos e implementados planos de ações corretivas e preventivas para resolver as lacunas observadas pelas equipas de auditoria e de garantia. Os resultados do Programa de Auditoria serão comunicados ao Diretor de Privacidade, ao Responsável pela Proteção de Dados relevante e à Comissão de Proteção de Dados, responsáveis por transmitir os resultados conforme descrito na presente Política.

As Autoridades de Proteção de Dados e Privacidade que aprovaram esta política ou que têm jurisdição sobre as práticas da nossa empresa, de acordo com esta Política, têm o direito de verificar a nossa conformidade com a mesma. Cumpriremos a informação destas autoridades competentes relativamente à interpretação e aplicação desta Política.

Termos que precisa de saber

• Anonimização.A alteração, trancagem obliteração ou outra redação ou modificação da Informação Pessoal, de modo a impossibilitar, de forma irreversível, a sua utilização para identificar, localizar ou contactar um indivíduo, quer isoladamente ou em conjunto com outra informação.
• Legislação. Todas as leis, regras, regulamentos e ordens de opinião aplicáveis com força de lei em qualquer país no qual a nossa empresa opera ou no qual a Informação Pessoal é processada por ou em nome da nossa empresa. Isto inclui todas os quadros de privacidade sob as quais a nossa empresa foi aprovada ou certificada, incluindo as Regras Empresariais Vinculativas da UE (“BCR”), a Cooperação Económica Ásia-Pacífico (“APEC”) Regras de Privacidade Transfronteiriças (“CBPR”), do UE-EUA Programa Quadro de Privacidade de Dados UE-EUA (DPF), Extensão do Reino Unido para DPF e o Programa Quadro de Privacidade de Dados – sob os poderes de investigação e aplicação da Comissão Federal de Comércio dos EUA.
• A nossa empresa.A Merck & Co., Inc., Rahway, NJ, EUA, seus sucessores, subsidiárias e divisões globais, excluindo joint-ventures de que a nossa empresa faça parte.
• Informação Pessoal. Quaisquer dados relacionados com um indivíduo identificado ou identificável, incluindo dados que identifiquem um indivíduo ou que possam ser usados para identificar, localizar, rastrear ou contactar um indivíduo. A Informação Pessoal inclui informação diretamente identificável, tal como nome, número de identificação ou cargo único, e informação indiretamente identificável, tal como data de nascimento, número de telemóvel único ou identificador de dispositivo utilizado, número de telefone, bem como dados codificados com chave e identificadores online, tal como endereços IP ou quaisquer atividades pessoais, comportamentos ou preferências que possam ser recolhidos para fornecer serviços ou produtos.
• Incidente de privacidade.Uma violação desta Política, ou de uma Lei da privacidade ou proteção de dados, e inclui um Incidente de Segurança. A determinação da ocorrência de um incidente de privacidade, e se deve ser elevado à categoria de Violação de Dados Pessoais, deve ser realizada pelo Gabinete de Privacidade Global, pela área de Gestão de Riscos e Segurança da Informação (Information Technology Risk Management and Security, ITRMS) e pelo Gabinete do Diretor Jurídico.
• Violação de Dados Pessoais. Uma quebra da segurança que conduz à destruição, perda e alteração acidentais ou ilícitas, e à divulgação ou o acesso não autorizados a Informação Pessoal, ou que leva a nossa empresa a razoavelmente acreditar na sua ocorrência. O acesso à Informação Pessoal por ou em nome da nossa empresa, sem a intenção de violar esta Política, não constitui uma Violação de Dados Pessoais, desde que a Informação Pessoal acedida seja ainda usada e divulgada apenas como permitido por esta Política.
• Tratamento. Realizar qualquer operação ou conjunto de operações sobre informação de pessoas, quer sejam ou não por meios automáticos, incluindo, mas não limitando à recolha, gravação, organização, armazenamento, acesso, adaptação, alterações, recuperação, consulta, utilização, avaliação, análise, comunicação, partilha, divulgação, disseminação, transmissão, disponibilização, alinhamento, combinação, bloqueio, eliminação, retificação ou destruição.
• Violação de Dados Pessoais. Uma violação de segurança que resulta na destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Informação Pessoal ou à crença razoável da nossa empresa sobre as mesmas. O acesso à Informação Pessoal por ou em nome da nossa empresa, sem a intenção de violar esta Política, não constitui uma Violação de Dados Pessoais, desde que a Informação Pessoal acedida seja ainda usada e divulgada apenas como permitido por esta Política.
• Informação Sensível. Qualquer tipo de informação sobre as pessoas que aporta um risco inerente de potencial dano a indivíduos, incluindo informação definida por lei como sensível, incluindo, mas não limitada à informação relacionada com a saúde, genética, biometria, raça, etnicidade, religião, opiniões políticas, filosóficas ou crenças, registo criminal, informação de geolocalização precisa, números de contas bancárias ou outras contas financeiras, números de identificação emitidos pelo governo, crianças menores, vida sexual, orientação sexual, afiliação em sindicato, seguros, segurança social e outros benefícios do empregador ou emitidos pelo governo.
• Terceiros . Qualquer entidade legal, associação ou pessoa que não seja detida pela nossa empresa ou na qual a nossa empresa não tenha participação de controlo, ou que não seja contratada pela nossa empresa. Exceto como expressamente definido nesta Política, nenhuma subsidiária ou divisão da nossa empresa terá de cumprir os requisitos de um terceiro de acordo com esta política, uma vez que é requerido a todas as subsidiárias ou divisões que processem informação sobre pessoas de acordo com esta Política, incluindo em circunstâncias onde uma das subsidiárias da nossa empresa apoia uma ou mais subsidiárias da nossa empresa relativamente ao processamento.

Alterações a esta Política

Esta política pode ser alterada ocasionalmente, de acordo com os requisitos da Lei aplicável. Será publicado, durante 60 dias, um aviso na página sobre privacidade da nossa empresa (https://www.msdprivacy.com) sempre que esta Política seja alterada