POLÍTICA DE NORMAS DE PRIVACIDAD TRANSFRONTERIZA GLOBAL

En Merck & Co., Inc. (Kenilworth, Nueva Jersey [EE. UU.]), empresa conocida como “MSD” fuera de EE. UU. y Canadá, nuestra misión de salvar y mejorar vidas también se extiende a respetar la privacidad y proteger la información personal.

Nos esforzamos en llevar a cabo nuestras actividades empresariales de acuerdo con nuestros valores de privacidad, ya que creemos que así se demuestra nuestro firme compromiso por actuar de una manera ética y responsable. Somos conscientes de que la innovación y las nuevas tecnologías suponen un cambio continuo de los riesgos, las expectativas y la legislación, por lo que seguimos los estándares de responsabilidad en cuanto a privacidad y procuramos adaptarlos rápidamente para poder aplicarlos según esos cambios.

Esta Política define nuestros estándares globales para la gestión y la protección de la Información personal, por parte de nuestra empresa o en su nombre, que se origine directa o indirectamente desde cualquier país del Espacio Económico Europeo (“EEE”), Suiza o desde las economías que forman parte de la Cooperación Económica Asia-Pacífico (“APEC”), y que se transfiera a cualquier otro país, incluidas las transferencias entre el EEE y la APEC. Asimismo, describe nuestros compromisos fundamentales de acuerdo con nuestra certificación de Normas de privacidad transfronteriza de la APEC, nuestra Normativa corporativa obligatoria (“BCR”) aprobada en la Unión Europea y nuestra certificación propia para con el Escudo de privacidad entre la UE y EE. UU. Esta Política afecta a nuestras operaciones en todos los países y a todas las actividades que hagan uso de información sobre personas y que realicemos en todas las filiales y divisiones (que incluyen sucesores de nuestros negocios), entre otras, nuestras actividades comerciales, de investigación, de fabricación, de apoyo corporativo y de servicios y soluciones de atención sanitaria, así como las transferencias de datos que sean necesarias para llevar a cabo dichas actividades, tales como:

  • Actividades de investigación y fabricación: La evaluación de las necesidades y oportunidades para la innovación médica y sanitaria; el inicio, la gestión y la financiación de estudios de investigación; la evaluación y relación con investigadores, miembros del comité científico y de ética, y socios comerciales para el apoyo de nuestros estudios de investigación y el desarrollo de nuestros productos; la selección de personal para los estudios de investigación; la evaluación de la seguridad, la eficacia y la calidad de nuestros productos comercializados y en fase de investigación; el cumplimiento de los requisitos de calidad y seguridad de nuestros productos, incluidas la gestión y la notificación de los acontecimientos adversos y las reclamaciones de calidad del producto; la presentación de solicitudes de autorización y registro de nuestros productos ante las autoridades reguladoras sanitarias, y el cumplimiento de las disposiciones legales, reglamentarias o éticas asociadas.
  • Actividades comerciales: La evaluación de los mercados para nuestros productos; actividades de comercialización, venta, distribución, entrega y publicidad de nuestros productos; la comunicación y relación con clientes profesionales de la salud, pagadores de servicios sanitarios, pacientes y otros usuarios finales de nuestros productos, así como cuidadores de aquellas personas que utilizan nuestros productos; el patrocinio y la organización de eventos; la evaluación y relación con socios comerciales para apoyar nuestras actividades comerciales, y el cumplimiento de las disposiciones legales, reglamentarias o éticas asociadas.
  • Actividades de apoyo corporativo: La selección, contratación, gestión, desarrollo, comunicación y remuneración de empleados; la administración de los beneficios para los empleados y las personas a su cargo; la realización de las revisiones de talento y rendimiento de los empleados; la impartición de formación y de otros programas de aprendizaje y desarrollo; la ejecución de los procedimientos disciplinarios y de resolución de conflictos de los empleados; la gestión de problemas éticos y de privacidad, además de la realización de las investigaciones; la gestión y protección de nuestra infraestructura y activos tanto físicos como virtuales; el aprovisionamiento y pago de bienes y servicios; el cumplimiento de nuestros compromisos de seguridad, medioambiente y de salud y otros compromisos de responsabilidad corporativa; la relación con los medios de comunicación, y el cumplimiento de las disposiciones legales, reglamentarias o éticas asociadas.
  • Actividades relacionadas con los servicios y las soluciones de atención sanitaria: La mejora del valor de la atención sanitaria proporcionada a pacientes en todo el mundo a través de servicios y soluciones factuales y centrados en servicios clínicos, soluciones de fidelización de pacientes y análisis de los datos sanitarios.

Esta Política también afecta a todas aquellas personas de las cuales tratamos información, entre otros, nuestros profesionales sanitarios y otros clientes; empleados futuros, actuales y antiguos y las personas a su cargo; pacientes; cuidadores; investigadores y participantes en estudios de investigación; miembros del comité científico y de ética; socios comerciales, inversores y accionistas; funcionarios públicos, y otras partes interesadas.

Todos los empleados de la empresa y los altos directivos tienen unas responsabilidades en materia de privacidad fundamentales que deben respetar.

Sabemos que los errores involuntarios y las valoraciones erróneas en relación con la protección de la información sobre personas pueden conllevar riesgos de privacidad para los individuos y riesgos de reputación, operativos, financieros y de cumplimiento para nuestra empresa. Impartiremos la formación necesaria respecto a esta Política a todos los empleados y al resto de personal que acceda de manera permanente o habitual a Información personal, que participe en la recopilación de datos o que intervenga en el diseño de herramientas que sirvan para tratar Información personal. Todos los empleados de nuestra empresa, y todos aquellos que tratan información sobre personas para nuestra empresa, son responsables de entender y respetar las obligaciones impuestas por esta Política y por la legislación pertinente.

Nuestros valores y estándares de privacidad

Respetamos nuestros valores de privacidad en todas las actividades que realizamos que afectan a las personas, incluida la manera de aplicar nuestros estándares de privacidad. Nuestros cuatro valores de privacidad son:

Respeto

Confianza

Evitar el daño

Cumplimiento

Sabemos que las inquietudes con respecto a la privacidad vienen dadas muy a menudo según nuestra personalidad, cómo vemos el mundo y cómo nos definimos, por lo que nos esforzamos en respetar las perspectivas e intereses de las personas y comunidades y en utilizar y compartir la información sobre ellos de manera justa y transparente.

Sabemos que la confianza es fundamental para nuestro éxito, y por esta razón nos esforzamos en fomentar y mantener la confianza de nuestros clientes, empleados, pacientes y otras partes interesadas en nuestra manera de respetar la privacidad y proteger la información sobre personas.

Somos conscientes de que el mal uso de la información sobre personas puede producir daños tangibles e intangibles a las personas, por lo que queremos impedir daños físicos, financieros, de reputación o cualquier otro tipo de daño a la privacidad de los individuos.

Nos hemos dado cuenta de que las leyes y reglamentos no siempre pueden seguir el ritmo de los rápidos cambios que se producen en tecnología, flujos de datos y tendencias relacionadas con los riesgos y expectativas de privacidad. Por lo tanto, intentamos cumplir con el espíritu y la letra de las leyes y reglamentos de protección de datos y privacidad de una manera que nos permita lograr un funcionamiento coherente y eficiente para nuestras actividades empresariales a nivel global.

  1. Integramos nuestros estándares de privacidad en todas las actividades, procesos, tecnologías y relaciones con terceros que utilizan Información personal. Diseñamos medidas de control de la privacidad para nuestros procesos y tecnologías que se corresponden con nuestros valores y estándares de privacidad, así como con la legislación pertinente. Los 8 principios de privacidad que se describen a continuación resumen a grandes rasgos nuestros estándares de privacidad y los requisitos principales para los procesos, las actividades y las tecnologías de apoyo.

    Principio de privacidad

    Nuestros compromisos fundamentales

    Necesidad: Antes de recopilar, utilizar o compartir Información personal, definimos y documentamos los propósitos empresariales específicos y legítimos para los cuales se necesitan esos datos.

    • Determinamos y documentamos el periodo de tiempo durante el cual se necesita la Información personal para esos propósitos empresariales establecidos y los imperativos legales aplicables.
    • No recopilamos, utilizamos ni compartimos más Información personal de la que sea necesaria, ni tampoco la conservamos de una manera identificable durante un periodo de tiempo más largo del necesario para esos propósitos empresariales establecidos y los imperativos legales aplicables.
    • Anonimizamos los datos cuando los requisitos del negocio requieren la conservación de la información sobre la actividad o el proceso durante un periodo de tiempo más largo.
    • Nos aseguramos de que estos requisitos necesarios están diseñados para cualquier tipo de tecnología de apoyo y de que se comunican a los terceros que prestan apoyo a la actividad o al proceso.

    2. Imparcialidad: No tratamos Información personal de formas que puedan ser injustas para las personas a quienes se refieren dichos datos.

    • Determinamos si la recopilación, utilización o cualquier otro tratamiento propuestos de la Información personal presentan un riesgo posible o grave de daño tangible o intangible para los individuos, de acuerdo con nuestro valor de privacidad de Evitar el daño.
    • Si la naturaleza de los datos, tipos de personas o la actividad presentan un riesgo posible o grave de daño tangible o intangible para las personas, nos aseguramos de que el riesgo de daño se vea compensado por un beneficio correspondiente para aquellos individuos a quienes se refieren dichos datos o para nuestra misión de salvar y mejorar vidas y de que las medidas, las protecciones y los mecanismos que hemos implantado mitiguen dicho riesgo.
    • En aquellos casos en los que el riesgo parezca no ser proporcional a los beneficios que los individuos percibirían, únicamente tratamos la Información confidencial o la Información personal con el consentimiento expreso de los individuos, según lo expresamente requerido o permitido por la legislación pertinente, o según lo autorice de manera expresa cualquier autoridad reguladora competente.
    • Documentamos el análisis del riesgo y diseñamos cualquier mecanismo necesario para obtener y documentar las pruebas del consentimiento en las tecnologías de apoyo.

    3. Transparencia: No tratamos la Información personal de formas o para propósitos que no sean transparentes.

    • Todos los individuos sobre quienes se trate la Información personal con arreglo a esta Política tienen el derecho de recibir una copia de esta Política. Facilitaremos copias de esta Política en línea en www.msdprivacy.com. El Departamento de Privacidad Global de MSD facilitará, previa solicitud, copias electrónicas o en papel de esta Política a las direcciones que se indican en la Sección 3.a. más adelante.
    • Cuando la Información personal se recopila directamente de los individuos, nosotros les informamos, antes de recopilar los datos, con un aviso de privacidad claro, evidente y fácil de acceder, o bien a través de otros medios similares, sobre los siguientes aspectos: (1) la entidad o entidades empresariales responsables del tratamiento, (2) los datos de contacto de nuestro Director de privacidad o del Director de privacidad de datos regional/local, (3) la información que se recopilará, (4) los propósitos para los cuales se utilizará, (5) los fundamentos jurídicos de nuestro tratamiento, (6) los individuos con los que se compartirá, incluyendo cualquier petición de revelación de Información personal en respuesta a requerimientos legales efectuados por las autoridades gubernamentales, (7) si se va a transferir Información personal a otros países (incluida una lista de los países pertinentes, si ello fuera viable) y, en caso afirmativo, de qué forma se va a hacer la transferencia, (8) el periodo de tiempo durante el cual se conservará o los criterios a partir de los cuales tomamos esa decisión, (9) la forma en la que pueden preguntar, expresar sus inquietudes o ejercer sus derechos en relación con su Información personal, (10) la forma en la que pueden retirar cualquier consentimiento que hayan otorgado, (11) su derecho a presentar reclamaciones ante cualquier autoridad de control, (12) cualquier obligación de proporcionar Información personal y las consecuencias de no hacerlo, (13) cualquier decisión automatizada, incluida la elaboración de perfiles, que vayamos a tomar, y (14) un enlace a esta Política, cuando sea posible y procedente.
    • Cuando la Información personal se recopila a través de la observación, sensores u otros medios indirectos, puede que no sea posible facilitar un aviso de privacidad directamente al individuo en el momento en que se recopila la información. En tales casos, le garantizamos al individuo la transparencia de la recopilación a través de otros medios, como por ejemplo mediante avisos impresos o publicados en el dispositivo o en los materiales asociados al dispositivo por el cual se obtendrá la información.
    • Cuando la Información personal se recopila a través de un sitio web, una aplicación móvil o cualquier otra aplicación o recurso en línea, aplicamos los estándares específicos de esa tecnología que se describen en nuestra Política de privacidad en Internet y en nuestro Compromiso de privacidad relativo a las cookies para garantizar que se cumplen los requisitos de transparencia de
    • Cuando la Información personal se recopila a través de otras fuentes sin estar necesariamente bajo la dirección de nuestra empresa, antes de obtener la información verificamos por escrito que el proveedor de esa información ha comunicado a los individuos las formas y los propósitos por los cuales nuestra empresa tiene pensado usar esa información. Si no se puede obtener una verificación escrita del proveedor de esa información, utilizamos únicamente información anonimizada, o bien antes de utilizar la Información personal de esos individuos les informamos con un aviso de privacidad u otros medios similares sobre los siguientes aspectos: (1) la entidad o entidades empresariales de nuestra empresa responsables del tratamiento, (2) los datos de contacto de nuestro Director de privacidad o del Director de privacidad de datos regional/local, (3) la información que nuestra empresa tiene la intención de usar, (4) los propósitos para los cuales tiene la intención de usarla, (5) los fundamentos jurídicos de nuestro tratamiento, (6) los individuos con los que nuestra empresa la compartirá, (7) si vamos a transferir Información personal a otros países (incluida una lista de los países pertinentes, si ello fuera viable) y, en caso afirmativo, de qué forma se va a hacer la transferencia, (8) el periodo de tiempo durante el cual nuestra empresa tiene la intención de conservarla o los criterios a partir de los cuales tomamos esa decisión, (9) la forma en la que pueden preguntar, expresar sus inquietudes o ejercer sus derechos en relación con su Información personal, (10) la forma en la que pueden retirar cualquier consentimiento que hayan otorgado, (11) su derecho a presentar reclamaciones ante cualquier autoridad de control, (12) cualquier obligación de proporcionar Información personal y las consecuencias de no hacerlo, (13) cualquier decisión automatizada, incluida la elaboración de perfiles, que tomemos, y (14) un enlace a esta Política, cuando sea posible y procedente.
    • Nos aseguramos de que los mecanismos necesarios de transparencia, incluidos si es posible los mecanismos de apoyo a las solicitudes de derechos de los individuos, estén diseñados en las tecnologías de apoyo, y de que los terceros que respaldan la actividad o el proceso no traten la información sobre personas de una manera incoherente con lo que se les ha comunicado a los individuos a través del aviso de privacidad u otro medio verificable acerca de lo que nosotros u otros que trabajen para nosotros haremos con la información.

    4. Limitación de finalidad: Únicamente utilizamos Información personal de acuerdo con los principios de Necesidad y Transparencia.

    • Si se identifican nuevos propósitos comerciales legítimos para la Información personal previamente recopilada, obtenemos el consentimiento del individuo al nuevo uso de Información personal, o bien garantizamos que el nuevo propósito comercial sea compatible con los propósitos descritos en el aviso de privacidad o en otros mecanismos de transparencia que se facilitaron previamente al individuo (o garantizamos que sea sustancialmente similar a tales propósitos). Decidiremos la compatibilidad en función de (1) cualquier vínculo que hubiera entre los propósitos originales y el nuevo propósito propuesto, (2) las expectativas razonables del individuo, (3) la naturaleza de la Información personal, (4) las consecuencias que el tratamiento adicional podría acarrear al individuo y (5) las medidas de protección que hemos implantado.
    • No aplicamos este principio a la información anonimizada o al uso de la Información personal únicamente con fines de búsqueda histórica y científica si (1) un Comité de revisión ética u otro revisor competente ha determinado que el riesgo de ese tipo de uso para la privacidad o para otros derechos de los individuos es aceptable, (2) nosotros hemos implantado las medidas de protección adecuadas para garantizar la minimización de los datos, tales como la seudonimización, y (3) se respeta cualquier otra legislación pertinente.
    • Nos aseguramos de que las restricciones de limitación de finalidad están diseñadas en cualquier tipo de tecnología de apoyo, incluida cualquier capacidad de notificación y transmisión de datos.

    5. Calidad de los datos: Conservamos la Información personal de manera precisa, completa y actualizada de acuerdo con su uso previsto.

    • Nos aseguramos de que los mecanismos de revisión periódica de los datos están diseñados en las tecnologías de apoyo para validar la precisión de los datos en contraste con las fuentes y los sistemas de transmisión.
    • Nos aseguramos de que la Información confidencial se valida como precisa y actualizada antes de su uso, evaluación, análisis, notificación u otro tratamiento que presente un riesgo de parcialidad para las personas en el caso de que se utilicen datos erróneos u obsoletos.
    • Cuando nuestra empresa o terceros que trabajan para nuestra empresa realizan cambios en la Información personal, nos aseguramos de que esos cambios se comunican a los individuos pertinentes de una manera oportuna en la medida de lo posible.

    6. Seguridad: Adoptamos medidas de seguridad para proteger la Información personal y la Información confidencial de la pérdida y mal uso, y del acceso, revelación, alteración o destrucción no autorizados.

    • Hemos implementado un exhaustivo programa de seguridad de la información, y llevamos a cabo controles de seguridad que se basan en el grado de confidencialidad de la información y en el nivel de riesgo de la actividad, teniendo en cuenta las mejores medidas tecnológicas actuales y el coste de implementación. Nuestras políticas funcionales de seguridad incluyen, entre otras, los estándares de continuidad empresarial y recuperación de desastres, encriptación, gestión de la identidad y el acceso, clasificación de la información, gestión de incidencias en la seguridad de la información, control de acceso a redes, seguridad física y gestión de riesgos.

    7. Transferencia de datos: Somos responsables de las protecciones de privacidad de la Información personal cuando se transfiere de/a otras organizaciones o a través de fronteras nacionales y somos los encargados de preservarlas.

    (1) Transferimos Información personal en el seno de nuestra empresa si se cumplen los siguientes requisitos:

    (1) la transmisión es necesaria para cumplir el propósito con el que se recopiló originalmente la Información personal o para satisfacer otro interés legítimo de la empresa, y (2) el propósito con el que se ha de compartir, y el hecho de que se va a compartir, es coherente con el aviso de privacidad o demás mecanismos de transparencia que se facilitaron al individuo en el momento de la recopilación original de la Información personal y del otorgamiento del consentimiento por parte del individuo en los casos en que fuera necesario, (3) en los casos en que una de nuestras filiales actúa únicamente en nombre de otra de nuestras filiales en el tratamiento de Información personal, (4) en los casos en que sea obligatorio conforme a derecho, tales filiales de nuestra empresa formalizarán un contrato de tratamiento de datos interno de conformidad con el principio 8 de esta Política.

    (2) Transferimos Información personal únicamente para que terceros traten la información, o para permitir que lo hagan, en el supuesto de que se cumplan los siguientes requisitos. Además, somos responsables también de asegurar que dichos terceros cumplan con ellos:

    • Si la función del tercero es tratar la Información personal para nuestra empresa o en su nombre, antes de proporcionar la Información personal al tercero o implicarlo en el proceso, llevamos a cabo lo siguiente: (1) ejercer la diligencia debida en materia de privacidad para evaluar las prácticas de privacidad y los riesgos asociados con esos terceros, (2) obtener garantías contractuales de dichos terceros de que tratarán la Información personal únicamente según las instrucciones de nuestra empresa y conforme a esta Política, incluidos, entre otros, los 8 Principios de privacidad y otros estándares descritos en esta Política, así como la legislación aplicable; de que, además, notificarán de inmediato a nuestra empresa si se produce un Incidente de privacidad, incluyendo cualquier incapacidad de cumplir con los estándares que se describen en esta Política y en la legislación aplicable, o un Incidente de seguridad, y de que cooperarán para remediar de inmediato cualquier Incidente corroborado y respetarán los derechos individuales descritos en la Sección 2 más adelante; de que no designarán a otra empresa para tratar la Información personal sin nuestra autorización por escrito y sin formalizar un contrato que imponga obligaciones equivalentes en materia de protección de datos; de que suprimirán toda la Información personal, o nos la devolverán, una vez que hayan dejado de prestarnos servicios o previa solicitud por nuestra parte; y de que ofrecerán a nuestra empresa la posibilidad de auditar y controlar sus prácticas durante el tiempo de tratamiento de esos datos a fin de demostrar el cumplimiento de estos requisitos. Si los terceros tratan Información personal que se origina en un país o territorio con una legislación que restringe la transferencia de Información personal, nos aseguraremos de que la transferencia al tercero cumple con los requisitos de transferencia transfronteriza de datos descritos en la sección (3), dispuesta a continuación.
    • Si la función del tercero es proporcionar Información personal a nuestra empresa, antes de obtener la Información personal del tercero, nos aseguramos de que se cumplen los requisitos de Transparencia para la recopilación de Información personal de otras fuentes, sin estar necesariamente bajo la dirección de nuestra empresa, y obtenemos representaciones contractuales del tercero de que este no está transgrediendo ninguna ley ni los derechos de ningún otro tercero al proporcionar Información personal a nuestra empresa.
    • Si la función del tercero es recibir información de nuestra empresa para su tratamiento, sin estar necesariamente bajo la dirección de nuestra empresa, antes de proporcionar información al tercero, nos aseguramos de que la información ha sido anonimizada, y obtenemos garantías por escrito de que el tercero únicamente utilizará dicha información para los propósitos comerciales descritos en el contrato y de conformidad con la legislación aplicable, sin intentar reidentificar la información.
    • Si la transferencia al tercero es necesaria para proteger los intereses legítimos del individuo o los de la empresa, podríamos transferir la información (1) con fines de prevención de fraude o para hacer valer o proteger derechos y bienes de la empresa, (2) para salvaguardar la seguridad personal en nuestros inmuebles de nuestros empleados o de terceros y (3) para proteger nuestros activos adoptando medidas de seguridad correctivas si albergamos sospechas razonables de que se han llevado a cabo actividades ilícitas o conductas indebidas de gravedad.
    • Si nuestra empresa tiene la intención de absorber el tercero o de adquirir una participación mayoritaria en este, (1) antes de firmar un acuerdo para absorberlo o adquirir una participación mayoritaria en dicho tercero, ejercemos la diligencia debida en materia de privacidad para evaluar las prácticas de privacidad y los riesgos asociados a la adquisición de ese tercero o de una participación mayoritaria en ese tercero, y (2) firmamos un acuerdo de transferencia de datos que especifica los términos y condiciones por los cuales la Información personal se puede revelar y las respectivas obligaciones de nuestra empresa y del tercero.
    • Si la función del tercero es adquirir los negocios de nuestra empresa parcialmente o en su totalidad, antes de compartir ningún tipo de Información personal en relación con la venta de cualquier parte de nuestros negocios, (1) firmamos un acuerdo de transferencia de datos que especifica los términos y condiciones bajo los cuales se puede revelar Información personal al comprador, incluyendo las limitaciones apropiadas para el uso autorizado de la Información personal y el cumplimiento con los estándares que se describen en esta Política y en la legislación aplicable; (2) revisamos todos los elementos de datos de las personas antes de compartirlos para evaluar los requisitos de la transmisión de datos; (3) obtenemos el consentimiento para compartir Información personal o Información confidencial de acuerdo con los principios de Transparencia y Limitación de finalidad de esta Política, y (4) solicitamos al tercero que notifique a nuestra empresa de inmediato cualquier Incidente de privacidad aplicable, incluyendo cualquier incapacidad de cumplir con los estándares que se describen en esta Política y en la legislación aplicable, y que coopere para remediar de inmediato cualquier Incidente corroborado o para detener el tratamiento de Información personal relevante.

    (3) Transferimos Información personal a través de fronteras nacionales, incluido a Estados Unidos de América, por parte de nuestra empresa o en su nombre de conformidad con esta Política. Aplicamos esta Política para las transferencias de Información personal desde cualquier otro país o territorio con una legislación que restrinja la transferencia de Información personal, además de cumplir con cualquier imperativo impuesto por tal legislación (incluido el uso de cualquier mecanismo necesario para realizar transferencias transfronterizas).

    8. Permitido desde el punto de vista jurídico: Solo tratamos Información personal si se cumplen los requisitos de la legislación aplicable.

    • Mientras que los otros 7 principios de privacidad, al igual que los requisitos de los Derechos individuales descritos más adelante, se plantean para asegurar el cumplimiento de los requisitos de la gran mayoría de leyes de protección de datos y de privacidad que son de aplicación para nuestras actividades empresariales en todo el mundo, en algunos países tenemos que cumplir requisitos adicionales, entre otros, los siguientes:

      1) Cuando proceda, obtendremos formularios de consentimiento específicos para ciertos tipos de tratamiento de Información personal, incluida la aprobación del tratamiento por parte de consejos de trabajo y otros sindicatos de trabajadores, entre otros;

      2) Cuando proceda, registraremos el tratamiento de Información personal ante la autoridad reguladora de protección de datos o de privacidad pertinente o solicitaremos la aprobación por parte de la misma;

      3) Cuando proceda, proporcionaremos derechos más amplios (por ejemplo, de acceso y rectificación) que los que se describen en esta Política;

      4) Cuando proceda, reduciremos más los periodos de retención de datos de la Información personal;

      5) Cuando proceda, firmaremos acuerdos que contengan cláusulas contractuales específicas, incluidos los acuerdos de transferencia transfronteriza de datos a terceros; y

      6) Cuando proceda, divulgaremos Información personal en respuesta a solicitudes lícitas formuladas por autoridades públicas, incluidos los casos en que debamos atender solicitudes en materia de seguridad nacional o solicitudes formuladas por las fuerzas y cuerpos de seguridad.

      En caso de conflicto entre esta Política y la legislación aplicable, prevalecerá la normativa que proporcione más protección a los individuos.

  2. Abordaremos con prontitud las solicitudes sobre los derechos de los individuos a acceder, modificar, rectificar o suprimir Información personal; a oponerse al tratamiento de Información personal sobre ellos; o a ejercer otros derechos en relación con su Información personal.
    1. Acceso, rectificación, supresión y otros derechos: Con arreglo a la legislación de la gran mayoría de países en los que operamos, los individuos tienen el derecho de acceder a su Información personal, así como de modificar, rectificar o suprimir Información personal que sea errónea, incompleta u obsoleta. Atenderemos a todas las solicitudes de acceso, rectificación o supresión de Información personal de todos los individuos de acuerdo con la Sección 3a, dispuesta a continuación. Si una solicitud de acceso, rectificación o supresión de información se rige por una legislación aplicable que proporciona una protección más amplia a los individuos, nos aseguraremos de que se cumplan los requisitos adicionales de esa legislación. En algunos países, es posible que a los individuos les asistan otros derechos respecto de la Información personal acerca de sí mismos, como el derecho a restringir el tratamiento, a oponerse al tratamiento (véase también la Sección 2b, dispuesta a continuación) y a disponer que sus datos sean transferidos a otro proveedor de servicios. Atenderemos el ejercicio de derechos en materia de datos con arreglo a la legislación aplicable.
    2. Elección: De acuerdo con nuestros valores de privacidad de “Respeto” y “Confianza”, atendemos a las solicitudes de los individuos de oponerse al tratamiento de Información personal, incluida la opción de dejar de participar en programas o actividades en los que se había aceptado participar previamente, así como de detener el tratamiento de su Información personal para comunicaciones comerciales directas o comunicaciones personales realizadas a medida según esa Información personal, y cualquier otra evaluación o decisión realizada a través del uso de sistemas automatizados o algoritmos que tenga el potencial de afectarles de una manera significativa, entre otras.
      1. Excepto cuando lo prohíba la legislación, puede que deneguemos la opción de elección cuando una solicitud de elección específica pueda obstaculizar a nuestra empresa en su capacidad para: (1) cumplir la legislación o una obligación ética, incluidos aquellos casos en que las autoridades públicas nos obliguen mediante un requerimiento lícito a divulgar Información personal, incluidos los casos en los que debamos atender solicitudes en materia de seguridad nacional o formuladas por las fuerzas y cuerpos de seguridad; (2) investigar, presentar o defender una demanda judicial; y (3) celebrar contratos, gestionar relaciones o entablar cualquier otra actividad comercial autorizada de acuerdo con los principios de Transparencia y Limitación de finalidad y llevada a cabo basándose en la información sobre las personas en cuestión. En el periodo de quince días hábiles tras cualquier decisión de denegación de una solicitud de elección de acuerdo con esta Política, documentaremos y comunicaremos la decisión al solicitante.
  3. Responderemos y escalaremos rápidamente todas las preguntas, quejas e inquietudes relacionadas con la privacidad, además de cualquier Incidente de privacidad o Incidente de seguridad potencial.
    1. Cualquier individuo del cual tratemos Información personal dentro del alcance de esta Política puede plantear una pregunta, queja o inquietud a nuestra empresa en cualquier momento, incluida una solicitud para recibir una lista de todas las filiales de nuestra empresa que están sujetas a esta Política. Esperamos que nuestros empleados y las demás partes que trabajan en nombre de nuestra empresa nos informen rápidamente cuando tengan motivos para creer que una legislación aplicable les pueda impedir cumplir con esta Política. Cualquier pregunta, queja o inquietud que un individuo plantee, o cualquier notificación facilitada por un empleado o cualquier otra persona que trabaje en nombre de nuestra empresa, debe dirigirse al Departamento de Privacidad Global de MSD:
      1. Por correo electrónico a: msd_privacy_office@msd.com
      2. Por correo postal a: Privacy Office, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pensilvania, EE. UU. 19454.
    2. Se requiere a los empleados y a los contratistas que comuniquen rápidamente al Departamento de Privacidad Global de MSD o al Encargado de privacidad asignado a su área de negocio cualquier pregunta, queja o inquietud relacionada con las prácticas de privacidad de nuestra empresa.
    3. El Departamento de Privacidad Global de MSD revisará e investigará, o trabajará con el Departamento de Ética, el Jurídico o el de Cumplimiento Normativo para investigar todas las preguntas, quejas o inquietudes relacionadas con las prácticas de privacidad de nuestra empresa, ya se reciban directamente por parte de nuestros empleados, de otros individuos o a través de terceros, entre otros, organismos reguladores, agentes de responsabilidad y otras autoridades gubernamentales. Responderemos a la persona o entidad que haya formulado la pregunta, queja o inquietud a nuestra empresa en un plazo de treinta (30) días naturales a menos que la legislación o un tercero solicitante requiera que se conteste en un plazo de tiempo inferior, o salvo que las circunstancias exijan un plazo de tiempo superior como, por ejemplo, una investigación del gobierno concurrente, en cuyo caso la persona o tercero solicitante será notificado por escrito tan pronto como sea posible de la naturaleza general de las circunstancias que contribuyen al retraso.
    4. El Departamento de Privacidad Global de MSD, en coordinación con el Departamento Jurídico y el de Cumplimiento Normativo, colaborará en respuesta a cualquier consulta, inspección o investigación de una autoridad reguladora de la privacidad.
    5. Para quejas que no se puedan resolver entre nuestra empresa y el individuo que ha presentado la queja, nuestra empresa ha aceptado participar en los procedimientos de resolución de conflictos durante la investigación y resolución de quejas para resolver los conflictos conforme a esta Política. Sin embargo, los individuos residentes en el EEE o los individuos cuya Información personal esté sujeta a la legislación de protección de datos del EEE y se transfiera fuera del EEE, también pueden recurrir en todo momento al estándar 3.f. a continuación:
      1. Para conflictos relacionados con toda la Información personal que recibe nuestra empresa desde Suiza, nuestra empresa ha aceptado cooperar con el Comisionado federal de información y protección de datos (FDPIC) suizo.
      2. Para conflictos relacionados con la transferencia a EE. UU. de Información personal relativa a actividades de recursos humanos y recopilada en el contexto de una relación laboral dentro del EEE, nuestra empresa también se compromete a cooperar con el comité de protección de datos de la UE correspondiente.
      3. Para conflictos relacionados con cualquier otra Información personal contemplada en esta Política, entre otros, los relacionados con el cumplimiento de nuestra empresa con las Normas de privacidad transfronteriza (CPBR) de la Cooperación Económica Asia-Pacífico (APEC), y con los Escudos de privacidad entre la UE y EE. UU. y entre Suiza y EE. UU., nuestra empresa acepta gestionar el proceso de resolución de conflictos por medio de TRUSTe, proveedor de resolución de conflictos radicado en EE. UU. Los individuos que envíen su pregunta o inquietud a nuestra empresa y que no reciban ninguna confirmación del recibo de su consulta o crean que su pregunta o inquietud no se ha resuelto de forma satisfactoria, deben ponerse en contacto con el Programa de resolución de conflictos de TRUSTe a través de Internet, por correo postal o por fax. En las consultas por correo postal o por fax se debe identificar a Merck & Co., Inc. o MSD como la empresa a la cual se le ha enviado una pregunta o inquietud, además de incluir una descripción sobre la inquietud relativa a la privacidad, el nombre del individuo que envía la consulta y si TRUSTe puede compartir los detalles de la consulta con nuestra empresa. TRUSTe actuará como enlace de nuestra empresa para resolver estos conflictos.
        1. En línea
        2. Fax: +1-415-520-3420
        3. Correo postal: Watchdog Complaints, TRUSTe, 835 Market Street, Suite 800, Box 137 San Francisco, California, EE. UU. 94103-1905
      4. Para obtener más información sobre TRUSTe o sobre el funcionamiento del proceso de resolución de conflictos de TRUSTe, visite la página web de TRUSTe en Internet o solicite esta información a TRUSTe por correo postal o por fax utilizando los datos de contacto arriba indicados. El proceso de resolución de conflictos de TRUSTe se llevará a cabo en inglés.
      5. Para cualquier conflicto que pueda surgir con arreglo a los Escudos de privacidad entre la UE y EE. UU., y entre Suiza y EE. UU., y que no se resuelva por medio de los pasos descritos en esta sección, los individuos tienen la opción de convocar un arbitraje vinculante de acuerdo con los procedimientos del Comité del Escudo de privacidad establecidos en los Escudos de privacidad entre la UE y EE. UU./Suiza y EE. UU.
    6. Todos los individuos que residan en el EEE, o individuos cuya Información personal esté sujeta a la legislación de protección de datos del EEE y sea transferida fuera del EEE, y cuya información se trate de conformidad con esta Política, tienen en todo momento el derecho con arreglo a esta Política de hacer cumplir los requisitos de dicha Política como terceros beneficiarios, incluido el derecho de emprender una acción judicial para solicitar soluciones jurídicas debido al incumplimiento de sus derechos según esta Política (tal y como se expone en la Sección 2, dispuesta anteriormente) y el derecho de recibir una indeminzación por los daños provocados por tal incumplimiento. Los individuos que residan en el EEE o individuos cuya Información personal esté sujeta a la legislación de protección de datos del EEE y sea transferida fuera del EEE (en aras de mayor claridad, incluyendo EE. UU.), pueden presentar una reclamación o una queja con arreglo a esta Política contra Merck, Sharp & Dohme (Europe) Inc. — Sucursal belga (“MSD Europe”):
      1. en los tribunales o ante la autoridad de protección de datos del país del EEE desde el cual se transfirió su Información personal;
      2. en los tribunales o ante la autoridad de protección de datos del país del EEE donde tengan su residencia habitual, o
      3. en los tribunales de Bélgica o ante la Comisión de privacidad belga.
    7. Nuestra empresa responderá a la persona o entidad que haya formulado la pregunta, queja o inquietud a nuestra empresa en un plazo de treinta (30) días naturales a menos que la legislación o el tercero solicitante requiera que se conteste en un plazo de tiempo inferior o salvo que las circunstancias exijan un plazo de tiempo más largo, en cuyo caso la persona o el tercero solicitante será notificado por escrito.
  4. Somos responsables de respetar nuestros valores y estándares de privacidad.
    1. La filial de nuestra empresa responsable de cualquier acción que genere un Incidente de privacidad o un Incidente de seguridad corroborado es responsable desde el punto de vista financiero del importe de cualquier reclamación por daños, multa o sanción que resulte del Incidente de privacidad o Incidente de seguridad.
      1. En coordinación con el Departamento de Privacidad Global de MSD (y bajo la dirección del mismo), MSD Europe es responsable de asegurar que se tomen las medidas necesarias para solucionar cualquier supuesto incumplimiento de esta Política, por parte de las filiales de nuestra empresa fuera del EEE, que afecte a las personas residentes en el EEE o a individuos cuya Información personal esté sujeta a la legislación de protección de datos del EEE y sea transferida fuera del EEE; asimismo, cuando proceda, debe asegurarse de que se paguen las multas, sanciones e indemnizaciones por los daños causados por los incumplimientos de esta Política que afecten a las personas residentes en el EEE o a individuos cuya Información personal esté sujeta a la legislación de protección de datos del EEE y sea transferida fuera del EEE. Con el apoyo del Departamento de Privacidad Global de MSD y la filial de nuestra empresa fuera del EEE responsable del supuesto incumplimiento, MSD Europe deberá demostrar que no debe responsabilizarse a nuestra empresa del supuesto incumplimiento. En el caso de que otra filial de nuestra empresa sea responsable de la acción que exigió la multa, sanción o la indemnización de daños, podría requerirse a dicha filial que reembolse de inmediato a MSD Europe cualquier importe que haya sido pagado por MSD Europe. Si cualquier filial de nuestra empresa radicada fuera del EEE incumple esta Política, los tribunales o las autoridades de protección de datos del EEE tendrán jurisdicción y al individuo agraviado le asistirán contra MSD Europe los derechos y las soluciones jurídicas expuestos en la Sección 3.f., dispuesta anteriormente.
      2. En coordinación con el Departamento de Privacidad Global de MSD (y bajo la dirección del mismo), Merck Sharp & Dohme Corp. es responsable de asegurar que se tomen las medidas necesarias para solucionar cualquier supuesto incumplimiento de esta Política que afecte a individuos que residan fuera del EEE y, cuando proceda, que se paguen las multas, sanciones e indemnizaciones de daños por incumplimientos de esta Política que afecten a individuos que residan fuera del EEE o a individuos cuya Información personal no esté sujeta a la legislación de protección de datos del EEE. En el caso de que otra filial de nuestra empresa sea responsable de la acción que exigió una multa, sanción o la indemnización de daños, podría requerirse a dicha filial que reembolse de inmediato a Merck Sharp & Dohme Corp. cualquier importe que haya sido pagado por Merck Sharp & Dohme Corp.

Controles de supervisión y vigilancia

Con el objetivo de ofrecer garantías a los reguladores y a otras partes interesadas de que nuestra empresa es responsable de su compromiso con las prácticas éticas y de privacidad responsables, la empresa mantiene un grupo de gobernanza exhaustiva de supervisión y vigilancia. Este grupo cuenta con un Director de privacidad, un Departamento de Privacidad Global (GPO) dedicado, un Delegado de protección de datos (DPD) de la UE asignado, diversos DPD nacionales en los casos en que venga exigido conforme a derecho o según lo dispongan las autoridades locales y Encargados de privacidad, que son designados por los altos directivos y actúan como enlace entre el Departamento de Privacidad Global de MSD y las áreas organizativas en las que trabajan.

Nuestra empresa contará con Agentes de responsabilidad para cuestiones de privacidad que serán responsables con arreglo a la legislación de las revisiones periódicas del cumplimiento de los requisitos de esta Política y de dicha legislación, incluidas las CPBR de la APEC.

Además de las revisiones de garantías gestionadas por el Departamento de Privacidad Global de MSD, los equipos de garantías y auditoría internos y externos llevarán a cabo revisiones de cumplimiento para verificar que MSD está cumpliendo esta Política, así como todas las políticas, procedimientos, estándares y directrices supeditados a esta. Se diseñarán e implementarán planes de medidas correctivas y preventivas para abordar las brechas detectadas por los equipos de garantías y auditoría. Los resultados de este Programa de auditorías serán trasladados al Director de privacidad y al Consejo de Privacidad y Protección de Datos, los cuales se encargan de notificarlos tal y como se describe en esta Política.

Las autoridades de protección de datos y privacidad que han aprobado esta Política o que tienen jurisdicción sobre las prácticas de nuestra empresa de conformidad con esta Política tienen derecho a verificar que nosotros cumplimos con ella. Aceptaremos el consejo de estas autoridades competentes con respecto a la interpretación y la aplicación de esta Política.

Términos que necesita conocer

  • Anonimizado. La alteración, truncamiento, supresión u otra edición o modificación de la Información personal de forma que no se pueda emplear en ningún caso para identificar, localizar o ponerse en contacto con una persona, ya sea por sí sola o combinándola con otros datos.
  • Incidente de privacidad. Una violación o incumplimiento de esta Política o de una ley de protección de datos o de privacidad que incluya un Incidente de seguridad. Corresponde al Departamento de Privacidad Global de MSD, al Departamento de Gestión de Riesgos y Seguridad de la Tecnología de la Información (ITRMS) y al Departamento de Asesoría Jurídica determinar si se ha producido un incidente de privacidad y si este es significativo.
  • Incidente de seguridad. Cualquier violación de la seguridad que conduzca a la destrucción, la pérdida o la alteración accidentales o ilícitas de Información personal; a la divulgación no autorizada de esta, o al acceso no autorizado a la misma; o la creencia justificada de nuestra empresa en la existencia de lo anterior. El acceso a la Información personal por parte de nuestra empresa o en su nombre sin la intención de infringir la presente Política no constituye un Incidente de seguridad, siempre que la Información personal a la que se accede se use y divulgue posteriormente únicamente para los fines permitidos en esta Política.
  • Información confidencial. Cualquier tipo de información sobre personas que implique un riesgo inherente de daño potencial para los individuos, incluida la información definida con arreglo a la legislación como confidencial, como la información relacionada con la salud, genética, datos biométricos, raza, origen étnico, religión, opiniones o creencias políticas/filosóficas, antecedentes penales, información precisa de geolocalización, números de cuentas bancarias o financieras de otro tipo, números de identificación oficiales, información sobre menores de edad, vida sexual, orientación sexual, afiliación sindical, seguros, seguridad social y otros beneficios a cuenta del empleador o del gobierno.
  • Información personal. Cualquier dato relacionado con un individuo identificado o identificable, incluidos los datos que identifican a un individuo o que pueden usarse para identificar, localizar, monitorizar o ponerse en contacto con un individuo. La Información personal incluye tanto la información directamente identificable (como puede ser el nombre, el número de identificación o el puesto de trabajo) como la información indirectamente identificable (como puede ser la fecha de nacimiento, el identificador único de un dispositivo móvil o portátil, el número de teléfono o datos cifrados e identificadores en línea tales como direcciones IP).
  • Legislación. Todas las leyes, normativas, reglamentos y sentencias con fuerza de ley aplicables en cualquier país en el que nuestra empresa opera o en el que se trata Información personal por parte de nuestra empresa o en su nombre. Esto incluye todos los marcos de privacidad con arreglo a los cuales nuestra empresa ha sido aprobada o certificada, que incluyen las Normas de privacidad transfronteriza (CPBR) de la Cooperación Económica Asia-Pacífico (APEC) y los Escudos de privacidad entre la UE y EE. UU. y entre Suiza y EE. UU., conforme a las competencias en materia de investigación y cumplimiento de la ley de la Comisión Federal de Comercio de EE. UU.
  • Nuestra empresa. Merck & Co., Inc. (Kenilworth, Nueva Jersey [EE. UU.]), sus sucesoras, filiales y divisiones en todo el mundo, excluidas las empresas conjuntas en las que participe nuestra empresa.
  • Tratamiento. Cualquier operación o conjunto de operaciones realizadas con la información sobre personas independientemente de si se llevan a cabo por medio automático, incluidas la recopilación, registro, organización, almacenamiento, acceso, adaptación, modificación, recuperación, consulta, uso, evaluación, análisis, comunicación, uso compartido, divulgación, difusión, transmisión, publicación, alineación, combinación, bloqueo, eliminación, supresión o destrucción de dicha información, entre otras.
  • Terceros. Cualquier entidad legal, asociación o persona que no sea propiedad de nuestra empresa, o en la que nuestra empresa no disponga de una participación mayoritaria, o que no esté empleada por nuestra empresa. Excepto cuando se indique expresamente en esta Política, no se le requerirá a ninguna filial o división de nuestra empresa que cumpla los requisitos de un tercero con arreglo a esta política, ya que todas las filiales o divisiones deben tratar la información personal de conformidad con esta Política, incluidas aquellas circunstancias en las que una de nuestras filiales apoye a una o varias filiales de nuestra empresa durante el tratamiento.

Cambios de esta Política

Esta Política se puede modificar periódicamente conforme a los requisitos de la legislación aplicable. Se publicará un aviso durante 60 días en el sitio web sobre privacidad de nuestra empresa (www.msdprivacy.com) cada vez que esta Política sea modificada de forma sustancial.

Fecha de entrada en vigor

5de junio de 2018

TRUSTeTRUSTeThis Web Accessibility icon serves as a link to download eSSENTIAL Accessibility assistive technology software for individuals with physical disabilities. It is being featured as part of a Disability Community Involvement initiative that reflects our commitment to Diversity, Inclusion,Corporate Citizenship and Social Responsibility.
Twitter IconLinkedin Icon

"Copyright © 2009-2018 Merck Sharp & Dohme Corp., una subsidiaria de Merck & Co., Inc. Kenilworth, NJ, USA. Todos los derechos reservados. Esta web es gestionada por Merck Sharp & Dohme Corp., una subsidiaria de  Merck & Co., Inc., Kenilworth, NJ, USA