worldwide

worldwide

En Merck & Co., Inc.Kenilworth, Nueva Jersey [EE. UU.], empresa con nombre comercial “MSD” fuera de EE. UU. y Canadá, nuestra misión de salvar y mejorar vidas también se extiende a respetar la privacidad y proteger la información personal.

Fecha de revisión: 20 de noviembre de 2020
Fecha de entrada en vigor: 20 de noviembre de 2020

Nos esforzamos en llevar a cabo nuestras actividades empresariales de acuerdo con nuestros valores de privacidad, ya que creemos que así se demuestra nuestro firme compromiso por actuar de una manera ética y responsable. Somos conscientes de que la innovación y las nuevas tecnologías suponen un cambio continuo de los riesgos, las expectativas y la legislación, por lo que seguimos los estándares de responsabilidad en cuanto a privacidad y procuramos adaptarlos rápidamente para poder aplicarlos según esos cambios.

Esta Política define nuestros estándares globales para la gestión y la protección de la Información personal, por parte de nuestra empresa o en su nombre, independientemente del país de origen o al que se transfiera la Información personal. Asimismo, describe nuestros compromisos fundamentales de acuerdo con nuestra certificación de Normas de privacidad transfronteriza de la APEC, nuestra Normativa corporativa obligatoria (“BCR”) aprobada en la Unión Europea y nuestra certificación propia para el Escudo de privacidad (Privacy Shield) entre la UE y EE. UU y el Escudo de privacidad entre Suiza y EE. UU. Esta Política afecta a nuestras operaciones en todos los países y a todas las actividades que hagan uso de información sobre personas y que realicemos en todas las filiales y divisiones (que incluyen sucesores de nuestros negocios), entre otras, nuestras actividades comerciales, de investigación, de fabricación y de apoyo corporativo así como las transferencias de datos que sean necesarias para llevar a cabo dichas actividades, tales como:

  • Actividades de investigación y fabricación: La evaluación de las necesidades y oportunidades para la innovación médica y sanitaria; el inicio, la gestión y la financiación de estudios de investigación; la evaluación y relación con investigadores, miembros del comité científico y de ética, y socios comerciales para el apoyo de nuestros estudios de investigación y el desarrollo de nuestros productos; la selección de personal para los estudios de investigación; la evaluación de la seguridad, la eficacia y la calidad de nuestros productos comercializados y en fase de investigación; el cumplimiento de los requisitos de calidad y seguridad de nuestros productos, incluidas la gestión y la notificación de los acontecimientos adversos y las reclamaciones de calidad del producto; la presentación de solicitudes de autorización y registro de nuestros productos ante las autoridades reguladoras sanitarias, y el cumplimiento de las disposiciones legales, reglamentarias o éticas asociadas.
  • Actividades comerciales: La evaluación de los mercados para nuestros productos; actividades de comercialización, venta, distribución, entrega y publicidad de nuestros productos; la comunicación y relación con clientes profesionales de la salud, pagadores de servicios sanitarios, pacientes y otros usuarios finales de nuestros productos, así como cuidadores de aquellas personas que utilizan nuestros productos; el patrocinio y la organización de eventos; la evaluación y relación con socios comerciales para apoyar nuestras actividades comerciales, y el cumplimiento de las disposiciones legales, reglamentarias o éticas asociadas.
  • Actividades de apoyo corporativo: La selección, contratación, gestión, desarrollo, comunicación y remuneración de empleados; la administración de los beneficios para los empleados y las personas a su cargo; la realización de las revisiones de talento y rendimiento de los empleados; la impartición de formación y de otros programas de aprendizaje y desarrollo; la ejecución de los procedimientos disciplinarios y de resolución de conflictos de los empleados; la gestión de problemas éticos y de privacidad, además de la realización de las investigaciones; la gestión y protección de nuestra infraestructura y activos tanto físicos como virtuales; el aprovisionamiento y pago de bienes y servicios; el cumplimiento de nuestros compromisos de seguridad, medioambiente y de salud y otros compromisos de responsabilidad corporativa; la relación con los medios de comunicación, y el cumplimiento de las disposiciones legales, reglamentarias o éticas asociadas.

Esta Política también afecta a todas aquellas personas de las cuales tratamos información, entre otros, nuestros profesionales sanitarios y otros clientes; empleados futuros, actuales y antiguos y las personas a su cargo; pacientes; cuidadores; investigadores y participantes en estudios de investigación; miembros del comité científico y de ética; socios comerciales, inversores y accionistas; funcionarios públicos, y otras partes interesadas.

Todos los empleados de la empresa y los altos directivos tienen unas responsabilidades en materia de privacidad fundamentales que deben respetar.

Sabemos que los errores involuntarios y las valoraciones erróneas en relación con la protección de la información sobre personas pueden conllevar riesgos de privacidad para los individuos y riesgos de reputación, operativos, financieros y de cumplimiento para nuestra empresa. Impartiremos la formación necesaria respecto a esta Política a todos los empleados y al resto de personal que acceda de manera permanente o habitual a Información personal, que participe en la recopilación de datos o que intervenga en el diseño de herramientas que sirvan para tratar Información personal. Todos los empleados de nuestra empresa, y todos aquellos que tratan información sobre personas para nuestra empresa, son responsables de entender y respetar las obligaciones impuestas por esta Política y por la legislación pertinente.

Nuestros valores y estándares de privacidad

  1. Respetamos nuestros valores de privacidad en todas las actividades que realizamos que afectan a las personas, incluida la manera de aplicar nuestros estándares de privacidad. Nuestros cuatro valores de privacidad son:

Respeto

Confianza

Evitar el daño

Cumplimiento

Sabemos que las inquietudes con respecto a la privacidad vienen dadas muy a menudo según nuestra personalidad, cómo vemos el mundo y cómo nos definimos, por lo que nos esforzamos en respetar las perspectivas e intereses de las personas y comunidades y en utilizar y compartir la información sobre ellos de manera justa y transparente.

Sabemos que la confianza es fundamental para nuestro éxito, y por esta razón nos esforzamos en fomentar y mantener la confianza de nuestros clientes, empleados, pacientes y otras partes interesadas en nuestra manera de respetar la privacidad y proteger la información sobre personas.

Somos conscientes de que el mal uso de la información sobre personas puede producir daños tangibles e intangibles a las personas, por lo que queremos impedir daños físicos, financieros, de reputación o cualquier otro tipo de daño a la privacidad de los individuos.

Nos hemos dado cuenta de que las leyes y reglamentos no siempre pueden seguir el ritmo de los rápidos cambios que se producen en tecnología, flujos de datos y tendencias relacionadas con los riesgos y expectativas de privacidad. Por lo tanto, intentamos cumplir con el espíritu y la letra de las leyes y reglamentos de protección de datos y privacidad de una manera que nos permita lograr un funcionamiento coherente y eficiente para nuestras actividades empresariales a nivel global.

  1. Integramos nuestros estándares de privacidad en todas las actividades, procesos, tecnologías y relaciones con terceros que utilizan Información personal. Diseñamos medidas de control de la privacidad para nuestros procesos y tecnologías que se corresponden con nuestros valores y estándares de privacidad, así como con la legislación pertinente. Los 8 principios de privacidad que se describen a continuación resumen a grandes rasgos nuestros estándares de privacidad y los requisitos principales para los procesos, las actividades y las tecnologías de apoyo.

    Principio de privacidad

    Nuestros compromisos fundamentales

    Necesidad: Antes de recopilar, utilizar o compartir Información personal, definimos y documentamos los propósitos empresariales específicos y legítimos para los cuales se necesitan esos datos.

    • Determinamos y documentamos el periodo de tiempo durante el cual se necesita la Información personal para esos propósitos empresariales establecidos y los imperativos legales aplicables.
    • No recopilamos, utilizamos ni compartimos más Información personal de la que sea necesaria, ni tampoco la conservamos de una manera identificable durante un periodo de tiempo más largo del necesario para esos propósitos empresariales establecidos y los imperativos legales aplicables.
    • Anonimizamos los datos cuando los requisitos del negocio requieren la conservación de la información sobre la actividad o el proceso durante un periodo de tiempo más largo.
    • Nos aseguramos de que estos requisitos necesarios están diseñados para cualquier tipo de tecnología de apoyo y de que se comunican a los terceros que prestan apoyo a la actividad o al proceso.

    2. Imparcialidad: No tratamos Información personal de formas que puedan ser injustas para las personas a quienes se refieren dichos datos.

    • Determinamos si la recopilación, utilización o cualquier otro tratamiento propuestos de la Información personal presentan un riesgo posible o grave de daño tangible o intangible para los individuos, de acuerdo con nuestro valor de privacidad de Evitar el daño.
    • Si la naturaleza de los datos, tipos de personas o la actividad presentan un riesgo posible o grave de daño tangible o intangible para las personas, nos aseguramos de que el riesgo de daño se vea compensado por un beneficio correspondiente para aquellos individuos a quienes se refieren dichos datos o para nuestra misión de salvar y mejorar vidas y de que las medidas, las protecciones y los mecanismos que hemos implantado mitiguen dicho riesgo.
    • n aquellos casos en los que el riesgo parezca no ser proporcional a los beneficios que los individuos percibirían, aplicamos las medidas de seguridad y protección relevantes, informamos a los individuos de este hecho y buscamos el consejo de la autoridad reguladora competente siempre que sea posible.
    • Tratamos Información confidencial únicamente con el consentimiento expreso de los individuos, según lo expresamente requerido o permitido por la legislación pertinente.
    • En aquellos casos en los que el riesgo parezca no ser proporcional a los beneficios que los individuos percibirían, documentamos el análisis del riesgo y diseñamos cualquier mecanismo necesario para minimizar los riesgos lo máximo posible.

    3. Transparencia: No tratamos la Información personal de formas o para propósitos que no sean transparentes.

    • Todos los individuos sobre quienes se trate la Información personal con arreglo a esta Política tienen el derecho de recibir una copia de esta Política. Facilitaremos copias de esta Política en línea en https://www.msdprivacy.com/index.html. El Departamento de Privacidad Global de MSD facilitará, previa solicitud, copias electrónicas o en papel de esta Política a las direcciones que se indican más adelante.
    • Cuando la Información personal se recopila directamente de los individuos, nosotros les informamos, antes de recopilar los datos, con un aviso de privacidad claro, evidente y fácil de acceder, o bien a través de otros medios similares, sobre los siguientes aspectos: (1) la entidad o entidades empresariales responsables del tratamiento, (2) los datos de contacto de nuestro Director de privacidad o del Director de privacidad de datos regional/local, (3) la información que se recopilará, (4) los propósitos para los cuales se utilizará, (5) los fundamentos jurídicos de nuestro tratamiento, (6) los individuos con los que se compartirá, incluyendo cualquier petición de revelación de Información personal en respuesta a requerimientos legales efectuados por las autoridades gubernamentales, (7) si se va a transferir Información personal a otros países (incluida una lista de los países pertinentes, si ello fuera viable) y, en caso afirmativo, de qué forma se va a hacer la transferencia, (8) el periodo de tiempo durante el cual se conservará o los criterios a partir de los cuales tomamos esa decisión, (9) la forma en la que pueden preguntar, expresar sus inquietudes o ejercer sus derechos en relación con su Información personal, (10) la forma en la que pueden retirar cualquier consentimiento que hayan otorgado, (11) su derecho a presentar reclamaciones ante cualquier autoridad de control, (12) cualquier obligación de proporcionar Información personal y las consecuencias de no hacerlo, (13) cualquier decisión automatizada, incluida la elaboración de perfiles, que vayamos a tomar, y (14) un enlace a esta Política, cuando sea posible y procedente. Nuestras notificaciones generales de privacidad para muchas de nuestras partes interesadas se encuentran disponibles en línea en: http://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.html
    • Cuando la Información personal se recopila a través de la observación, sensores u otros medios indirectos, puede que no sea posible facilitar un aviso de privacidad directamente al individuo en el momento en que se recopila la información. En tales casos, le garantizamos al individuo la transparencia de la recopilación a través de otros medios, como por ejemplo mediante avisos impresos o publicados en el dispositivo o en los materiales asociados al dispositivo por el cual se obtendrá la información.
    • Cuando la Información personal se recopila a través de un sitio web, una aplicación móvil o cualquier otra aplicación o recurso en línea, aplicamos los estándares específicos de esa tecnología que se describen en nuestra Política de privacidad en Internet y en nuestra Política Global de Rastreo en Línea para garantizar que se cumplen los requisitos de transparencia de acuerdo con esta Política.
    • Cuando la Información personal se recopila a través de otras fuentes sin estar necesariamente bajo la dirección de nuestra empresa, antes de obtener la información verificamos por escrito que el proveedor de esa información ha comunicado a los individuos las formas y los propósitos por los cuales nuestra empresa tiene pensado usar esa información. Si no se puede obtener una verificación escrita del proveedor de esa información, utilizamos únicamente información anonimizada, o bien antes de utilizar la Información personal de esos individuos les informamos con un aviso de privacidad u otros medios similares sobre los siguientes aspectos: (1) la entidad o entidades empresariales de nuestra empresa responsables del tratamiento, (2) los datos de contacto de nuestro Director de privacidad o del Director de protección de datos regional/local, (3) la información que nuestra empresa tiene la intención de usar, (4) los propósitos para los cuales tiene la intención de usarla, (5) los fundamentos jurídicos de nuestro tratamiento, (6) los individuos con los que nuestra empresa la compartirá, (7) si vamos a transferir Información personal a otros países (incluida una lista de los países pertinentes, si ello fuera viable) y, en caso afirmativo, de qué forma se va a hacer la transferencia, (8) el periodo de tiempo durante el cual nuestra empresa tiene la intención de conservarla o los criterios a partir de los cuales tomamos esa decisión, (9) la forma en la que pueden preguntar, expresar sus inquietudes o ejercer sus derechos en relación con su Información personal, (10) la forma en la que pueden retirar cualquier consentimiento que hayan otorgado, (11) su derecho a presentar reclamaciones ante cualquier autoridad de control, (12) cualquier obligación de proporcionar Información personal y las consecuencias de no hacerlo, (13) cualquier decisión automatizada, incluida la elaboración de perfiles, que tomemos, y (14) un enlace a esta Política, cuando sea posible y procedente.
    • Nos aseguramos de que los mecanismos necesarios de transparencia, incluidos si es posible los mecanismos de apoyo a las solicitudes de derechos de los individuos, estén diseñados en las tecnologías de apoyo, y de que los terceros que respaldan la actividad o el proceso no traten la información sobre personas de una manera incoherente con lo que se les ha comunicado a los individuos a través del aviso de privacidad u otro medio verificable acerca de lo que nosotros u otros que trabajen para nosotros haremos con la información.
    • En los casos en los que solicitamos consentimiento, obtenemos y documentamos pruebas de consentimiento en nuestras tecnologías de apoyo.

    4. Limitación de finalidad: Únicamente utilizamos Información personal de acuerdo con los principios de Necesidad y Transparencia.

    • Si se identifican nuevos propósitos comerciales legítimos para la Información personal previamente recopilada, obtenemos el consentimiento del individuo al nuevo uso de Información personal, o bien garantizamos que el nuevo propósito comercial sea compatible con los propósitos descritos en el aviso de privacidad o en otros mecanismos de transparencia que se facilitaron previamente al individuo (o garantizamos que sea sustancialmente similar a tales propósitos). Decidiremos la compatibilidad en función de (1) cualquier vínculo que hubiera entre los propósitos originales y el nuevo propósito propuesto, (2) las expectativas razonables del individuo, (3) la naturaleza de la Información personal, (4) las consecuencias que el tratamiento adicional podría acarrear al individuo y (5) las medidas de protección que hemos implantado.
    • No aplicamos este principio a la información anonimizada o al uso de la Información personal únicamente con fines de búsqueda histórica y científica si (1) un Comité de revisión ética u otro revisor competente ha determinado que el riesgo de ese tipo de uso para la privacidad o para otros derechos de los individuos es aceptable, (2) nosotros hemos implantado las medidas de protección adecuadas para garantizar la minimización de los datos, (3) se seudoanonimizan los datos personales y (4) se respeta cualquier otra legislación pertinente.
    • Nos aseguramos de que las restricciones de limitación de finalidad están diseñadas en cualquier tipo de tecnología de apoyo, incluida cualquier capacidad de notificación y transmisión de datos.

    5. Calidad de los datos: Conservamos la Información personal de manera precisa, completa y actualizada de acuerdo con su uso previsto.

    • Nos aseguramos de que los mecanismos de revisión periódica de los datos están diseñados en las tecnologías de apoyo para validar la precisión de los datos en contraste con las fuentes y los sistemas de transmisión.
    • Nos aseguramos de que la Información confidencial se valida como precisa y actualizada antes de su uso, evaluación, análisis, notificación u otro tratamiento que presente un riesgo de parcialidad para las personas en el caso de que se utilicen datos erróneos u obsoletos.
    • Cuando nuestra empresa o terceros que trabajan para nuestra empresa realizan cambios en la Información personal, nos aseguramos de que esos cambios se comunican a los individuos pertinentes de una manera oportuna en la medida de lo posible.

    6. Seguridad: Adoptamos medidas de seguridad para proteger la Información personal y la Información confidencial de la pérdida y mal uso, y del acceso, revelación, alteración o destrucción no autorizados.

    • Hemos implementado un exhaustivo programa de seguridad de la información, y llevamos a cabo controles de seguridad que se basan en el grado de confidencialidad de la información y en el nivel de riesgo de la actividad, teniendo en cuenta las mejores medidas tecnológicas actuales y el coste de implementación. Nuestras políticas funcionales de seguridad incluyen, entre otras, los estándares de continuidad empresarial y recuperación de desastres, encriptación, gestión de la identidad y el acceso, clasificación de la información, gestión de incidencias en la seguridad de la información, control de acceso a redes, seguridad física y gestión de riesgos.

    7. Transferencia de datos: Somos responsables de las protecciones de privacidad de la Información personal cuando se transfiere de/a otras organizaciones o a través de fronteras nacionales y somos los encargados de preservarlas.

    (1) Transferimos Información personal en el seno de nuestra empresa si se cumplen los siguientes requisitos:

    (1) la transmisión es necesaria para cumplir el propósito con el que se recopiló originalmente la Información personal o para satisfacer otro interés legítimo de la empresa, y (2) el propósito con el que se ha de compartir, y el hecho de que se va a compartir, es coherente con el aviso de privacidad o demás mecanismos de transparencia que se facilitaron al individuo en el momento de la recopilación original de la Información personal y del otorgamiento del consentimiento por parte del individuo en los casos en que fuera necesario, (3) en los casos en que una de nuestras filiales actúa únicamente en nombre de otra de nuestras filiales en el tratamiento de Información personal, (4) en los casos en que sea obligatorio conforme a derecho, tales filiales de nuestra empresa formalizarán un contrato de tratamiento de datos interno de conformidad con el principio 8 de esta Política, (5) en los casos en que la infraestructura de TIC requiere dicha transferencia, siempre que se disponga de las medidas organizativas y de seguridad adecuadas para permitir el cumplimiento de dicha transferencia.

    (2) Transferimos Información personal únicamente para que terceros traten la información, o para permitir que lo hagan, en el supuesto de que se cumplan los siguientes requisitos. Además, somos responsables también de asegurar que dichos terceros cumplan con ellos:

    • Si la función del tercero es tratar la Información personal para nuestra empresa o en su nombre, antes de proporcionar la Información personal al tercero o implicarlo en el proceso, llevamos a cabo lo siguiente: (1) ejercer la diligencia debida en materia de privacidad para evaluar las prácticas de privacidad y los riesgos asociados con esos terceros, (2) obtener garantías contractuales de dichos terceros de que tratarán la Información personal únicamente según las instrucciones de nuestra empresa y conforme a esta Política, incluidos, entre otros, los 8 Principios de privacidad y otros estándares descritos en esta Política, así como la legislación aplicable; de que, además, notificarán de inmediato a nuestra empresa si se produce un Incidente de privacidad, incluyendo cualquier incapacidad de cumplir con los estándares que se describen en esta Política y en la legislación aplicable, o un Incidente de seguridad, y de que cooperarán para remediar de inmediato cualquier Incidente corroborado y respetarán los derechos individuales descritos en la Sección 2 más adelante; de que no designarán a otra empresa para tratar la Información personal sin nuestra autorización por escrito y sin formalizar un contrato que imponga obligaciones equivalentes en materia de protección de datos; de que suprimirán toda la Información personal, o nos la devolverán, una vez que hayan dejado de prestarnos servicios o previa solicitud por nuestra parte; y de que ofrecerán a nuestra empresa la posibilidad de auditar y controlar sus prácticas durante el tiempo de tratamiento de esos datos a fin de demostrar el cumplimiento de estos requisitos. Si los terceros tratan Información personal que se origina en un país o territorio con una legislación que restringe la transferencia de Información personal, nos aseguraremos de que la transferencia al tercero cumple con los requisitos de transferencia transfronteriza de datos descritos en la sección (3), dispuesta a continuación.
    • Si la función del tercero es proporcionar Información personal a nuestra empresa, antes de obtener la Información personal del tercero, nos aseguramos de que se cumplen los requisitos de Transparencia para la recopilación de Información personal de otras fuentes, sin estar necesariamente bajo la dirección de nuestra empresa, y obtenemos representaciones contractuales del tercero de que este no está transgrediendo ninguna ley ni los derechos de ningún otro tercero al proporcionar Información personal a nuestra empresa.
    • Si la función del tercero es recibir información de nuestra empresa para su tratamiento, sin estar necesariamente bajo la dirección de nuestra empresa, antes de proporcionar información al tercero, nos aseguramos de que la información ha sido anonimizada, y obtenemos garantías por escrito de que el tercero únicamente utilizará dicha información para los propósitos comerciales descritos en el contrato y de conformidad con la legislación aplicable, sin intentar reidentificar la información.
    • Si la transferencia al tercero es necesaria para proteger los intereses legítimos del individuo o los de la empresa, podríamos transferir la información (1) con fines de prevención de fraude o para hacer valer o proteger derechos y bienes de la empresa, (2) para salvaguardar la seguridad personal en nuestros inmuebles de nuestros empleados o de terceros y (3) para proteger nuestros activos adoptando medidas de seguridad correctivas si albergamos sospechas razonables de que se han llevado a cabo actividades ilícitas o conductas indebidas de gravedad.
    • Si nuestra empresa tiene la intención de absorber el tercero o de adquirir una participación mayoritaria en este, (1) antes de firmar un acuerdo para absorberlo o adquirir una participación mayoritaria en dicho tercero, ejercemos la diligencia debida en materia de privacidad para evaluar las prácticas de privacidad y los riesgos asociados a la adquisición de ese tercero o de una participación mayoritaria en ese tercero, y (2) firmamos un acuerdo de transferencia de datos que especifica los términos y condiciones por los cuales la Información personal se puede revelar y las respectivas obligaciones de nuestra empresa y del tercero.
    • Si la función del tercero es adquirir los negocios de nuestra empresa parcialmente o en su totalidad, antes de compartir ningún tipo de Información personal en relación con la venta de cualquier parte de nuestros negocios, (1) firmamos un acuerdo de transferencia de datos que especifica los términos y condiciones bajo los cuales se puede revelar Información personal al comprador, incluyendo las limitaciones apropiadas para el uso autorizado de la Información personal y el cumplimiento con los estándares que se describen en esta Política y en la legislación aplicable; (2) revisamos todos los elementos de datos de las personas antes de compartirlos para evaluar los requisitos de la transmisión de datos; (3) obtenemos el consentimiento para compartir Información personal o Información confidencial de acuerdo con los principios de Transparencia y Limitación de finalidad de esta Política, y (4) solicitamos al tercero que notifique a nuestra empresa de inmediato cualquier Incidente de privacidad aplicable, incluyendo cualquier incapacidad de cumplir con los estándares que se describen en esta Política y en la legislación aplicable, y que coopere para remediar de inmediato cualquier Incidente corroborado o para detener el tratamiento de Información personal relevante.

    (3) Transferimos Información personal a través de fronteras nacionales, incluido a Estados Unidos de América, por parte de nuestra empresa o en su nombre de conformidad con esta Política. Aplicamos esta Política para las transferencias de Información personal desde cualquier otro país o territorio con una legislación que restrinja la transferencia de Información personal, además de cumplir con cualquier imperativo impuesto por tal legislación (incluido el uso de cualquier mecanismo necesario para realizar transferencias transfronterizas a países que no tengan los mismos estándares de protección de datos que el país de origen).

    8. Permitido desde el punto de vista jurídico: Solo tratamos Información personal si se cumplen los requisitos de la legislación aplicable.

    • Mientras que los otros 7 principios de privacidad, al igual que los requisitos de los Derechos individuales descritos más adelante, se plantean para asegurar el cumplimiento de los requisitos de la gran mayoría de leyes de protección de datos y de privacidad que son de aplicación para nuestras actividades empresariales en todo el mundo, en algunos países tenemos que cumplir requisitos adicionales, entre otros, los siguientes:

      1) Cuando proceda, obtendremos formularios de consentimiento específicos para ciertos tipos de tratamiento de Información personal, incluida la aprobación del tratamiento por parte de consejos de trabajo y otros sindicatos de trabajadores, entre otros;

      2) Cuando proceda, registraremos el tratamiento de Información personal ante la autoridad reguladora de protección de datos o de privacidad pertinente o solicitaremos la aprobación por parte de la misma;

      3) Cuando proceda, proporcionaremos derechos más amplios (por ejemplo, de acceso y rectificación) que los que se describen en esta Política;

      4) Cuando proceda, reduciremos más los periodos de retención de datos de la Información personal;

      5) Cuando proceda, firmaremos acuerdos que contengan cláusulas contractuales específicas, incluidos los acuerdos de transferencia transfronteriza de datos a terceros; y

      6) Cuando proceda, divulgaremos Información personal en respuesta a solicitudes lícitas formuladas por autoridades públicas, incluidos los casos en que debamos atender solicitudes en materia de seguridad nacional o solicitudes formuladas por las fuerzas y cuerpos de seguridad.

      En caso de conflicto entre esta Política y la legislación aplicable, prevalecerá la normativa que proporcione más protección a los individuos.

  1. Abordaremos con prontitud las solicitudes sobre los derechos de los individuos a acceder, modificar, rectificar o suprimir Información personal; a oponerse al tratamiento de Información personal sobre ellos; o a ejercer otros derechos en relación con su Información personal.
    1. Acceso, rectificación, supresión y otros derechos: Con arreglo a la legislación de la gran mayoría de países en los que operamos, los individuos tienen el derecho de acceder a su Información personal, así como de modificar, rectificar o suprimir Información personal que sea errónea, incompleta u obsoleta. Atenderemos a todas las solicitudes de acceso, rectificación o supresión de Información personal de todos los individuos de acuerdo con la Sección 3a, dispuesta a continuación. Si una solicitud de acceso, rectificación o supresión de información se rige por una legislación aplicable que proporciona una protección más amplia a los individuos, nos aseguraremos de que se cumplan los requisitos adicionales de esa legislación.
      En algunos países, es posible que a los individuos les asistan otros derechos respecto de la Información personal acerca de sí mismos, como el derecho a restringir el tratamiento, a oponerse al tratamiento (véase también la Sección 2b, dispuesta a continuación) y a disponer que sus datos sean transferidos a otro proveedor de servicios. Atenderemos el ejercicio de derechos en materia de datos con arreglo a la legislación aplicable. Algunos derechos como el de eliminación pueden ser limitados de acuerdo con otros requisitos reglamentarios o la necesidad de cumplir con la declaración de cumplimiento local, en cuyo caso le informaremos sobre estas limitaciones según proceda.
    2. Elección: De acuerdo con nuestros valores de privacidad de “Respeto” y “Confianza”, atendemos a las solicitudes de los individuos de oponerse al tratamiento de Información personal, incluida la opción de dejar de participar en programas o actividades en los que se había aceptado participar previamente, así como de detener el tratamiento de su Información personal para comunicaciones comerciales directas o comunicaciones personales realizadas a medida según esa Información personal, y cualquier otra evaluación o decisión realizada a través del uso de sistemas automatizados o algoritmos que tenga el potencial de afectarles de una manera significativa, entre otras.
      1. Excepto cuando lo prohíba la legislación, puede que deneguemos la opción de elección cuando una solicitud de elección específica pueda obstaculizar a nuestra empresa en su capacidad para: (1) cumplir la legislación o una obligación ética, incluidos aquellos casos en que las autoridades públicas nos obliguen mediante un requerimiento lícito a divulgar Información personal, incluidos los casos en los que debamos atender solicitudes en materia de seguridad nacional o formuladas por las fuerzas y cuerpos de seguridad; (2) investigar, presentar o defender una demanda judicial; y (3) celebrar contratos, gestionar relaciones o entablar cualquier otra actividad comercial autorizada de acuerdo con los principios de Transparencia y Limitación de finalidad y llevada a cabo basándose en la información sobre las personas en cuestión. En el periodo de quince días hábiles tras cualquier decisión de denegación de una solicitud de elección de acuerdo con esta Política, documentaremos y comunicaremos la decisión al solicitante.
  2. Responderemos y escalaremos rápidamente todas las preguntas, quejas e inquietudes relacionadas con la privacidad, además de cualquier Incidente de privacidad o Incidente de seguridad potencial.
    1. Cualquier individuo del cual tratemos Información personal dentro del alcance de esta Política puede plantear una pregunta, queja o inquietud a nuestra empresa en cualquier momento, incluida una solicitud para recibir una lista de todas las filiales de nuestra empresa que están sujetas a esta Política. Esperamos que nuestros empleados y las demás partes que trabajan en nombre de nuestra empresa nos informen rápidamente cuando tengan motivos para creer que una legislación aplicable les pueda impedir cumplir con esta Política. Cualquier pregunta, queja o inquietud que un individuo plantee, o cualquier notificación facilitada por un empleado o cualquier otra persona que trabaje en nombre de nuestra empresa, debe dirigirse al Departamento de Privacidad Global:
      1. Por correo electrónico para residentes en el Espacio Económico Europeo (EEE) a:euprivacydpo@msd.com
      2. O por correo electrónico a:msd_privacy_office@msd.com
      3. Por correo postal a: Privacy Office, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pensilvania, EE. UU. 19454.
    2. Se requiere a los empleados y a los contratistas que comuniquen rápidamente al Departamento de Privacidad Global o al Encargado de privacidad asignado a su área de negocio cualquier pregunta, queja o inquietud relacionada con las prácticas de privacidad de nuestra empresa.
    3. El Departamento de Privacidad Global revisará e investigará, o trabajará con el Departamento de Ética, el Jurídico o el de Cumplimiento Normativo para investigar todas las preguntas, quejas o inquietudes relacionadas con las prácticas de privacidad de nuestra empresa, ya se reciban directamente por parte de nuestros empleados, de otros individuos o a través de terceros, entre otros, organismos reguladores, agentes de responsabilidad y otras autoridades gubernamentales. Responderemos a la persona o entidad que haya formulado la pregunta, queja o inquietud a nuestra empresa en un plazo de treinta (30) días naturales a menos que la legislación o un tercero solicitante requiera que se conteste en un plazo de tiempo inferior, o salvo que las circunstancias exijan un plazo de tiempo superior como, por ejemplo, una investigación del gobierno concurrente, en cuyo caso la persona o tercero solicitante será notificado por escrito tan pronto como sea posible de la naturaleza general de las circunstancias que contribuyen al retraso.
    4. El Departamento de Privacidad Global , en coordinación con el Departamento Jurídico y el de Cumplimiento Normativo, colaborará en respuesta a cualquier consulta, inspección o investigación de una autoridad reguladora de la privacidad.
    5. Para quejas que no se puedan resolver entre nuestra empresa y el individuo que ha presentado la queja, nuestra empresa ha aceptado participar en los procedimientos de resolución de conflictos durante la investigación y resolución de quejas para resolver los conflictos conforme a esta Política. Sin embargo, los individuos residentes en el EEE o los individuos cuya Información personal esté sujeta a la legislación de protección de datos del EEE y se transfiera fuera del EEE, también pueden recurrir en todo momento al estándar 3.f. a continuación:
      1. Para conflictos relacionados con la transferencia de Información personal relativa a actividades de recursos humanos en el contexto de una relación laboral del EEE, y el Reino Unido a los EE. UU. nuestra empresa se compromete a cooperar con el comité de protección de datos de la UE correspondiente.
      2. Para conflictos relacionados con la transferencia de Información personal relacionada con actividades de recursos humanos en el contexto de una relación de empleo de Suiza a los EE. UU., nuestra empresa se compromete a cooperar con el Comisionado Federal para la Protección de Datos y de la Información (FDPIC) suizo.
      3. Para conflictos relacionados con la transferencia de Información Personal de conformidad con el cumplimiento de nuestra empresa con las Normas de privacidad transfronteriza (CPBR) de la Cooperación Económica Asia-Pacífico (APEC) (APEC) entre las Economías de la APEC la transferencia de la Información personal relacionada con las actividades de recursos no humanos a través de los Escudos de privacidad (Privacy Shield) entre la UE y EE. UU. y entre Suiza y EE. UU., nuestra empresa acepta gestionar el proceso de resolución de conflictos por medio de nuestro proveedor tercero de resolución de conflictos radicado en EE. UU (de forma gratuita) en https://feedback-form.truste.com/watchdog/request.
      4. Para cualquier conflicto que pueda surgir con arreglo a los Escudos de privacidad (Privacy Shield) entre la UE y EE. UU., y entre Suiza y EE. UU., y que no se resuelva por medio de los pasos descritos en esta sección, los individuos tienen la opción de convocar un arbitraje vinculante de acuerdo con los procedimientos del Comité del Escudo de privacidad establecidos en los Escudos de privacidad entre la UE y EE. UU./Suiza y EE. UU.
    6. Todos los individuos que residan en el EEE, o individuos cuya Información personal esté sujeta a la legislación de protección de datos del EEE y sea transferida fuera del EEE, y cuya información se trate de conformidad con esta Política, tienen en todo momento el derecho con arreglo a esta Política de hacer cumplir los requisitos de dicha Política como terceros beneficiarios, incluido el derecho de emprender una acción judicial para solicitar soluciones jurídicas debido al incumplimiento de sus derechos según esta Política (tal y como se expone en la Sección 2, dispuesta anteriormente) y el derecho de recibir una indemnización por los daños provocados por tal incumplimiento. Los individuos que residan en el EEE o individuos cuya Información personal esté sujeta a la legislación de protección de datos del EEE y sea transferida fuera del EEE (en aras de mayor claridad, incluyendo EE. UU.), pueden presentar una reclamación o una queja con arreglo a esta Política contra la Empresa filial responsable de exportar la Información personal fuera del EEE ante:
      1. los tribunales del Exportador de datos situados en el EEE o
      2. los tribunales del país donde está situado nuestro Supervisor Europeo de Protección de Datos, o las autoridades de protección de datos competentes (en particular en el Estado Miembro de residencia habitual, lugar de trabajo o lugar de presunta infracción) o
      3. nuestras autoridades de protección de datos líderes que han indicado nuestras Normas corporativas vinculantes (BCR): la Comisión Nacional de la Informática y de las Libertades (CNIL) francesa.
    7. Nuestra empresa responderá a la persona o entidad que haya formulado la pregunta, queja o inquietud a nuestra empresa en un plazo de treinta (30) días naturales a menos que la legislación o el tercero solicitante requiera que se conteste en un plazo de tiempo inferior o salvo que las circunstancias exijan un plazo de tiempo más largo, en cuyo caso la persona o el tercero solicitante será notificado por escrito.
  3. Somos responsables de respetar nuestros valores y estándares de privacidad.
    1. La filial de nuestra empresa responsable de cualquier acción que genere un Incidente de privacidad o un Incidente de seguridad corroborado es responsable desde el punto de vista financiero del importe de cualquier reclamación por daños, multa o sanción que resulte del Incidente de privacidad o Incidente de seguridad.
      1. En coordinación con el Departamento de Privacidad Global (y bajo la dirección del mismo), el Supervisor Europeo de Protección de Datos es responsable de asegurar que se tomen las medidas necesarias para solucionar cualquier supuesto incumplimiento de esta Política, por parte de las filiales de nuestra empresa fuera del EEE, que afecte a las personas residentes en el EEE o a individuos cuya Información personal esté sujeta a la legislación de protección de datos del EEE y sea transferida fuera del EEE. Asimismo, cuando proceda, Merck, Sharp & Dohme (Europe) Inc., sucursal de EE. UU. – Bélgica (“MSD Europe”) debe asegurarse de que se paguen las multas, sanciones e indemnizaciones por los daños causados por los incumplimientos de esta Política que afecten a las personas residentes en el EEE o a individuos cuya Información personal esté sujeta a la legislación de protección de datos del EEE y sea transferida fuera del EEE. Con el apoyo del Departamento de Privacidad Global de MSD y la filial de nuestra empresa fuera del EEE responsable del supuesto incumplimiento, el Supervisor Europeo de Protección de Datos deberá demostrar que no debe responsabilizarse a nuestra empresa del supuesto incumplimiento. En el caso de que otra filial de nuestra empresa sea responsable de la acción que exigió la multa, sanción o la indemnización de daños, podría requerirse a dicha filial que reembolse de inmediato a MSD Europe cualquier importe que haya sido pagado por MSD Europe. Si cualquier filial de nuestra empresa radicada fuera del EEE incumple esta Política, los tribunales o las autoridades de protección de datos del EEE tendrán jurisdicción y al individuo agraviado se le concederán los derechos y las soluciones jurídicas contra la Empresa filial responsable de exportar la Información personal fuera del EEE, expuestos en la Sección 3.f., dispuesta anteriormente.
      2. En coordinación con el Departamento de Privacidad Global (y bajo la dirección del mismo),Merck Sharp & Dohme Corp. es responsable de asegurar que se tomen las medidas necesarias para solucionar cualquier supuesto incumplimiento de esta Política que afecte a individuos que residan fuera del EEE y, cuando proceda, que se paguen las multas, sanciones e indemnizaciones de daños por incumplimientos de esta Política que afecten a individuos que residan fuera del EEE o a individuos cuya Información personal no esté sujeta a la legislación de protección de datos del EEE. En el caso de que otra filial de nuestra empresa sea responsable de la acción que exigió una multa, sanción o la indemnización de daños, podría requerirse a dicha filial que reembolse de inmediato a Merck Sharp & Dohme Corp. cualquier importe que haya sido pagado por Merck Sharp & Dohme Corp.

Controles de supervisión y vigilancia

Con el objetivo de ofrecer garantías a los reguladores y a otras partes interesadas de que nuestra empresa es responsable de su compromiso con las prácticas éticas y de privacidad responsables, la empresa mantiene un grupo de gobernanza exhaustiva de supervisión y vigilancia. Este grupo cuenta con un Director de privacidad, un Departamento de Privacidad Global (GPO) dedicado, un Delegado de protección de datos (DPD) de la UE asignado, diversos DPD nacionales en los casos en que venga exigido conforme a derecho o según lo dispongan las autoridades locales y Encargados de privacidad, que son designados por los altos directivos y actúan como enlace entre el Departamento de Privacidad Global y las áreas organizativas en las que trabajan.

Nuestra empresa contará con Agentes de responsabilidad para cuestiones de privacidad que serán responsables con arreglo a la legislación de las revisiones periódicas del cumplimiento de los requisitos de esta Política y de dicha legislación, incluidas las CPBR de la APEC.

Además de las revisiones de garantías gestionadas por el Departamento de Privacidad Global, los equipos de garantías y auditoría internos y externos llevarán a cabo revisiones de cumplimiento para verificar que la Empresa está cumpliendo esta Política, así como todas las políticas, procedimientos, estándares y directrices supeditados a esta. Se diseñarán e implementarán planes de medidas correctivas y preventivas para abordar las brechas detectadas por los equipos de garantías y auditoría. Los resultados de este Programa de auditorías serán trasladados al Director de Privacidad, al Responsable de Privacidad y Protección de Datos y al Consejo de Privacidad y Protección de Datos, los cuales se encargan de notificarlos tal y como se describe en esta Política.

Las autoridades de protección de datos y privacidad que han aprobado esta Política o que tienen jurisdicción sobre las prácticas de nuestra empresa de conformidad con esta Política tienen derecho a verificar que nosotros cumplimos con ella. Aceptaremos el consejo de estas autoridades competentes con respecto a la interpretación y la aplicación de esta Política.

Términos que necesita conocer

Cambios de esta Política

Esta Política se puede modificar periódicamente conforme a los requisitos de la legislación aplicable. Se publicará un aviso durante 60 días en el sitio web sobre privacidad de nuestra empresa (https://www.msdprivacy.com) cada vez que esta Política sea modificada de forma sustancial.