Procedura sulle regole globali in materia di privacy transfrontaliera

Data di revisione: 1 settembre 2023
Data di entrata in vigore: 1 settembre 2023

Ci impegniamo a condurre la nostra attività secondo i nostri valori di privacy in quanto riteniamo che essi dimostrino il nostro fermo impegno nei confronti di pratiche etiche e responsabili. Riconosciamo che l’innovazione e le nuove tecnologie sono alla base di un cambiamento continuo dei rischi, delle aspettative e delle leggi, quindi seguiamo degli standard di responsabilità per la privacy e miriamo ad adattare prontamente il modo in cui li applichiamo in risposta a tali cambiamenti.

La presente Politica definisce i nostri standard globali per la gestione e la protezione delle informazioni personali da parte o per conto della nostra azienda, indipendentemente dal paese da cui provengono o verso il quale le informazioni personali possono essere trasferite. La procedura descrive i nostri impegni principali, tesi a convalidare la conformità alla nostra certificazione APEC sulle regole in materia di privacy transfrontaliera, alle nostre norme vincolanti d’impresa (Binding Corporate Rules, “BCR”), approvate dall’Unione europea, e alla nostra autocertificazione sul programma Data Privacy Framework (DPF) UE-USA, estensione del Regno Unito al DPF e sul programma Svizzera-USA Data Privacy Framework Svizzera-USA.

La nostra azienda è conforme al programma Data Privacy Framework UE-USA (EU-U.S. DPF), estensione dal Regno Unito all’UE-USA DPF e al programma Data Privacy Framework Svizzera-USA (Swiss-U.S. DPF) come stabilito dal Dipartimento del Commercio degli Stati Uniti. Abbiamo certificato al Dipartimento del Commercio degli Stati Uniti che aderiamo ai principi del Data Privacy Framework UE-USA (EU-U.S. DPF) per quanto riguarda il trattamento dei dati personali ricevuti dall’Unione europea nel rispetto dell’EU-U.S. DPF e dal Regno Unito (e Gibilterra) facendo affidamento sull’estensione dal Regno Unito all’EU-U.S. DPF. Abbiamo certificato al Dipartimento del Commercio degli Stati Uniti che aderiamo ai principi del programma Data Privacy Framework Svizzera-USA (Swiss-U.S. DPF) per quanto riguarda il trattamento dei dati personali ricevuti dalla Svizzera facendo affidamento sullo Swiss-U.S. DPF. Nell’eventualità di una discrepanza tra i termini di questa politica e quelli dell’EU-U.S. DPF e/o Swiss-U.S. DPF, prevarranno i Principi. Per ulteriori informazioni sul programma Data Privacy Framework (DPF) e per visualizzare la nostra certificazione, visitare https://www.dataprivacyframework.gov/.

Questa politica si applica a tutte le nostre attività e operazioni in ogni Paese, che comportino informazioni sulle persone e che vengano svolte in tutte le sussidiarie e divisioni (inclusi i successori della nostra attività), comprese, a titolo esemplificativo, le nostre attività di ricerca, produzione, informazione scientifica e vendita, supporto aziendale, e il trasferimento dei dati necessari per l’esecuzione di tali attività con l’inclusione delle seguenti:

• Ricerca e Produzione: valutazione di esigenze e opportunità di innovazione medica e sanitaria; avvio, gestione e finanziamento di studi di ricerca; valutazione e coinvolgimento di ricercatori, membri del comitato scientifico ed etico e partner aziendali a supporto degli studi di ricerca e dello sviluppo dei prodotti; reclutamento per gli studi di ricerca; valutazione della sicurezza, dell’efficacia e della qualità dei nostri prodotti sperimentali e commercializzati; soddisfazione degli obblighi in materia di sicurezza e qualità dei prodotti, inclusa la gestione e la segnalazione di eventi avversi e i reclami sulla qualità dei prodotti; richiesta di approvazione e registrazione dei prodotti presso le autorità normative; conformità con i requisiti legali, normativi o etici associati;
• Commerciale: valutazione dei mercati per i nostri prodotti; pubblicità, marketing, vendita, distribuzione e fornitura dei prodotti; comunicazione e coinvolgimento dei clienti professionisti in ambito dell’assistenza sanitaria, organismi pagatori del settore sanitario, pazienti e altri utenti finali dei nostri prodotti, oltre a chi si occupa di coloro che usano i nostri prodotti; sponsorizzazione e conduzione di eventi; valutazione e coinvolgimento dei partner aziendali a supporto delle attività commerciali; conformità con i requisiti legali, normativi o etici di riferimento;
• Supporto aziendale: reclutamento, assunzione, gestione, sviluppo, comunicazioni e retribuzione dei dipendenti; amministrazione dei benefit per dipendenti e relativi collaboratori; conduzione di revisioni della performance e talent review; somministrazione della formazione e di altri programmi di apprendimento e sviluppo; conduzione di procedimenti disciplinari e di vertenze; gestione di problemi di natura etica e di privacy e conduzione di indagini; gestione e protezione delle nostre risorse e infrastrutture fisiche e virtuali; approvvigionamento e pagamento di beni e servizi; adempimento degli obblighi di natura ambientale, sanitaria e di sicurezza e di altri obblighi legati alla responsabilità aziendale; rapporti con i media; conformità ai requisiti legali, normativi o etici associati.

Questa Politica si applica anche a tutte le persone di cui trattiamo le informazioni, inclusi, tra gli altri, i nostri professionisti del settore sanitario e altri clienti; dipendenti potenziali, attuali e precedenti e i loro collaboratori, pazienti, chi si occupa di questi ultimi, ricercatori e partecipanti agli studi di ricerca, membri del comitato scientifico ed etico, partner aziendali, investitori e azionisti, funzionari pubblici e altri interlocutori.

Tutti i dipendenti dell’azienda e i dirigenti senior hanno responsabilità fondamentali da perseguire.

Riconosciamo che errori e valutazioni errate in materia di protezione delle informazioni sulle persone possono creare rischi per la privacy degli individui e rischi operativi, finanziari, per la reputazione e la conformità della nostra azienda. Forniremo la formazione necessaria sulla presente Politica a tutti i dipendenti e altro personale che hanno accesso, in forma regolare o continuativa, alle Informazioni personali interessate dal trattamento di dati o dalle attività di sviluppo degli strumenti utilizzati per trattare le Informazioni personali. Ogni dipendente della nostra azienda e tutti coloro che trattano informazioni per conto di essa sono responsabili della comprensione e del rispetto dei propri obblighi secondo quanto stabilito dalla presente Politica e dalle leggi applicabili.

I nostri valori e i nostri standard in materia di privacy

Rispettiamo i nostri valori in materia di privacy in tutte le nostre attività e operazioni che riguardano le persone. I nostri quattro valori per la privacy sono i seguenti:

Rispetto	Fiducia	Prevenzione dei danni	Conformità
Riconosciamo che le  attenzioni sulla privacy spesso riguardano la nostra stessa essenza, la nostra visione del mondo e la definizione di noi stessi, quindi ci impegniamo a rispettare i punti di vista e gli interessi di individui e comunità e ad essere equi e trasparenti nell’utilizzo e nella condivisione delle loro informazioni.	Sappiamo che la fiducia è di importanza cruciale per il nostro successo, quindi ci impegniamo a costruire e preservare la fiducia di clienti, dipendenti, pazienti e altri interlocutori nel modo in cui rispettiamo la privacy e proteggiamo le informazioni personali.	Comprendiamo che l’uso errato delle informazioni personali può creare danni materiali e immateriali agli individui, quindi cerchiamo di prevenire danni fisici, finanziari e di reputazione, oltre a danni di altro tipo, alla privacy dei singoli.	Abbiamo imparato che le leggi e i regolamenti non possono sempre stare al passo con i cambiamenti rapidi delle tecnologie e dei flussi di dati e con i mutamenti nei rischi e nelle aspettative per la privacy, quindi ci impegniamo a conformarci allo spirito e alla lettera delle leggi e dei regolamenti in materia di privacy e protezione dei dati, in maniera tale da garantire coerenza ed efficienza nelle nostre operazioni a livello globale.

1. Incorporiamo i nostri standard di privacy in ogni attività, processo, tecnologia e relazione con terze parti che usano le informazioni personali. Integriamo nei nostri processi e nelle nostre tecnologie controlli della privacy coerenti con i nostri valori e standard e con la legge applicabile. Gli 8 principi sulla privacy enunciati di seguito riepilogano i nostri standard e requisiti chiave di privacy per i processi, le attività e le tecnologie che li supportano.

   Principio sulla privacy	I nostri impegni chiave
   1. Necessità: prima di raccogliere, usare o condividere le informazioni personali, definiamo e documentiamo i fini aziendali specifici e legittimi che ne giustificano la necessità.	Determiniamo e documentiamo la durata per cui le informazioni personali sono necessarie per tali fini aziendali e gli obblighi legali di pertinenza. Non raccogliamo, usiamo o condividiamo una quantità di informazioni personali superiore a quanto necessario né le conserviamo in una forma identificabile per un periodo di tempo superiore a quello necessario per i fini aziendali definiti e relativi obblighi legali. Rendiamo anonimi i dati laddove le esigenze aziendali richiedano che le informazioni sull’attività o il processo siano conservate per un periodo di tempo più lungo. Verifichiamo che i requisiti di necessità siano integrati in tutte le tecnologie di supporto e che siano comunicati ai soggetti esterni che sostengono l’attività o il processo.
   2. Correttezza: non trattiamo le informazioni personali in maniera illecita nei confronti delle persone a cui i dati sono correlati.	Determiniamo se la raccolta, l’uso o un altro tipo di trattamento proposto delle informazioni personali presenti un potenziale e/o grave rischio di danno tangibile o intangibile per gli individui, in conformità al nostro Valore privacy di Prevenzione dei danni. Se la natura dei dati, i tipi di soggetti o l’attività presentano un rischio potenziale e/o grave di danno tangibile o intangibile per gli individui, verifichiamo che il rischio di danno sia superato da un corrispondente beneficio per tali individui o per la nostra mission di salvare e migliorare le vite e sia mitigato dai meccanismi e dalle misure di tutela adottate da MSD. Laddove il rischio paia superare i benefici per gli individui, applichiamo le misure di sicurezza e protezione più rilevanti, informiamo gli individui a riguardo e cerchiamo il parere dell’autorità di regolamentazione competente quando possibile. Trattiamo le informazioni sensibili solo con il consenso esplicito degli individui, se richiesto o consentito espressamente dalla legge applicabile. Laddove il rischio sembra superare i benefici per gli individui, noi documentiamo l’analisi dei rischi e sviluppiamo eventuali meccanismi atti a minimizzare i rischi il più possibile.
   3. Trasparenza: non trattiamo le informazioni personali secondo modalità o fini non trasparenti.	Tutti gli individui le cui informazioni personali vengono trattate secondo la presente Politica hanno diritto a una copia della stessa. Renderemo disponibili copie della presente Politica online su https://www.msdprivacy.com/index.html. L’ufficio globale per la privacy di MSD fornirà su richiesta copie in formato elettronico e/o cartacee della presenta Politica agli indirizzi elencati in basso. Quando i dati personali vengono raccolti direttamente dagli individui, prima di raccogliere tali informazioni forniamo un’informativa sulla privacy chiara, trasparente in merito a: (1) l’entità o le entità dell’azienda responsabili del trattamento, (2) i dettagli di contatto del responsabile della privacy (Chief Privacy Officer, CPO) e/o del responsabile della privacy dei dati locale/regionale, (3) le informazioni che verranno raccolte, (4) le finalità per cui verranno utilizzate, (5) la base giuridica per il trattamento (6) con chi verranno condivise, incluso qualsivoglia requisito richiesto per la divulgazione delle Informazioni personali in risposta a legittime richieste delle autorità governative, (7) se e in quale modalità le Informazioni personali verranno trasferite ad altri Paesi ivi inclusi quelli rilevanti, laddove sia fattibile, (8) per quanto tempo tali informazioni saranno conservate o i criteri in base ai quali stabiliremo la durata del periodo di conservazione, (9) come possono porre domande, sollevare dubbi o esercitare i loro diritti in relazione alle loro Informazioni personali, (10) come possono annullare il consenso conferito in precedenza, (11) il loro diritto a presentare un reclamo presso l’autorità di controllo competente, (12) qualsiasi obbligo che impone di fornire le Informazioni personali e le conseguenze derivanti dalla mancata adempienza a tale obbligo, (13) qualsiasi processo decisionale automatizzato adottato, inclusa la profilazione, e (14) un link alla presente Politica, laddove possibile e nei casi appropriati. Le nostre informative sulla privacy complete per molti dei nostri stakeholder sono disponibili online su http://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.html Quando le Informazioni personali vengono ottenute tramite osservazioni, sensori o altri mezzi indiretti, può non essere possibile fornire un’informativa sulla privacy direttamente all’individuo al momento della raccolta. In tali casi, garantiamo trasparenza tramite altri mezzi, ad esempio la pubblicazione o la stampa sul dispositivo o materiali associati al dispositivo su cui verranno trattati i dati. Quando le informazioni personali vengono raccolte tramite un sito Web, un’app per dispositivi mobili o un’altra applicazione o risorsa online, applichiamo gli standard tecnologici specifici descritti nella nostra Politica sulla privacy su Internet e nel nostro Impegno per la privacy dei cookie per garantire che siano soddisfatti i requisiti in materia di trasparenza sanciti nella presente Politica. Quando le informazioni personali vengono raccolte da altre fonti non gestite specificamente dalla nostra azienda, prima di ottenere le informazioni verifichiamo per iscritto che il fornitore abbia informato gli individui sui metodi e i fini per cui l’azienda intende usare le informazioni. Se non è possibile ottenere una verifica scritta da parte del fornitore delle informazioni, usiamo solo informazioni rese anonime oppure, prima di utilizzare le informazioni personali, informiamo gli individui interessati tramite un’informativa sulla privacy o mezzi simili, indicando (1) l’entità o le entità dell’azienda responsabili del trattamento delle informazioni, (2) i dettagli di contatto del responsabile della privacy e/o del responsabile della protezione dei dati locale/regionale, (3) di quali informazioni è previsto l’utilizzo, (4) i fini per cui l’azienda prevede di utilizzarle, (5) la base giuridica per il trattamento (6) con chi l’azienda le condividerà, (7) se e in quale modalità le Informazioni personali verranno trasferite dall’azienda ad altri Paesi, ivi inclusi quelli rilevanti, laddove sia fattibile, (8) per quanto tempo l’azienda prevede di conservare tali informazioni o i criteri in base ai quali stabiliremo la durata del periodo di conservazione, (9) come possono porre domande, sollevare dubbi o esercitare i loro diritti in relazione alle loro Informazioni personali, (10) come possono annullare il consenso conferito in precedenza, (11) il loro diritto a presentare un reclamo presso l’autorità di controllo competente, (12) qualsiasi obbligo che impone di fornire le Informazioni personali e le conseguenze derivanti dalla mancata adempienza a tale obbligo, (13) qualsiasi processo decisionale automatizzato adottato, inclusa la profilazione e (14) un link alla presente Politica, ove possibile e nei casi appropriati. Garantiamo che i necessari meccanismi di trasparenza, inclusi, laddove possibile, meccanismi a supporto delle richieste di diritti individuali, siano integrati nelle tecnologie di supporto, e che le terze parti che supportano l’attività o il processo non trattino informazioni personali in maniera non conforme a quanto comunicato mediante informativa sulla privacy o altro mezzo verificabile sull’utilizzo delle informazioni da parte nostra o di soggetti che operano per nostro conto. Quando chiediamo il consenso, otteniamo e documentiamo la prova del consenso nelle nostre tecnologie di supporto.
   4. Limitazione dei fini: usiamo le informazioni personali solo in conformità con i principi di necessità e trasparenza.	Nel caso in cui vengano individuati nuovi e legittimi fini aziendali per le informazioni personali raccolte in precedenza, otteniamo il consenso dell’individuo per il nuovo impiego delle sue Informazioni personali o ci assicuriamo che il nuovo fine aziendale sia compatibile con, e materialmente simile ai fini descritti in un’informativa sulla privacy o nella comunicazione fornita precedentemente all’individuo. La compatibilità dovrà tener conto tra l’altro di (1) ogni nesso tra tali finalità e le finalità dell’ulteriore trattamento previsto, (2) delle ragionevoli aspettative dell’interessato, (3) della natura delle Informazioni personali, (4) delle conseguenze dell’ulteriore trattamento previsto per gli interessati, e (5) dell’esistenza di garanzie adeguate adottate. Non applichiamo questo principio alle informazioni rese anonime o nei casi in cui usiamo le informazioni personali esclusivamente a fini di ricerca storica e scientifica e nel caso in cui (1) un comitato di revisione etica, o altro revisore competente, abbia determinato che il rischio di tale impiego per la privacy e altri diritti individuali sia accettabile, (2) siano state adottate tutele adeguate per garantire il principio di minimizzazione dei dati, (3) i dati personali siano oggetto di pseudonimizzazione e (4) siano rispettate tutte le altre leggi applicabili. Le restrizioni dovute alla limitazione dei fini sono integrate in qualunque tecnologia di supporto, incluse le capacità di reporting e la condivisione dei dati downstream.
   5. Qualità dei dati: preserviamo l’accuratezza, la completezza e l’aggiornamento delle informazioni personali conformemente all’uso previsto.	Verifichiamo che meccanismi di revisione periodica dei dati siano integrati nelle tecnologie di supporto per convalidare l’accuratezza dei dati rispetto ai sistemi di origine e downstream. Verifichiamo che sia convalidata l’accuratezza e l’attualità delle informazioni sensibili prima del loro uso, della valutazione, dell’analisi, del reporting o di altri trattamenti che presentino un rischio di mancata correttezza per le persone nel caso in cui vengano usati dati inaccurati o obsoleti. Laddove vengano apportate modifiche alle informazioni personali da parte della nostra azienda o da terze parti che operano per conto della nostra azienda, verifichiamo che tali modifiche siano comunicate agli individui interessati in maniera tempestiva.
   6. Sicurezza: poniamo in essere difese per proteggere le informazioni personali e le informazioni sensibili da perdita, uso improprio e accesso non autorizzato, divulgazione, alterazione e distruzione.	Abbiamo implementato un programma di sicurezza delle informazioni e applichiamo controlli di sicurezza basati sulla sensibilità delle informazioni e sul livello di rischio dell’attività, prendendo in considerazione le best practice tecnologiche disponibili. Le nostre politiche di sicurezza a livello di funzione includono, tra gli altri, standard di business continuity e disaster recovery, crittografia, gestione delle identità e dell’accesso, classificazione delle informazioni, gestione degli incidenti relativi alla sicurezza delle informazioni, controllo dell’accesso alla rete, sicurezza fisica e gestione dei rischi.
   7. Trasferimento dati: siamo responsabili e preserviamo la privacy delle informazioni personali quando queste vengono trasferite a/da altre organizzazioni o tra Paesi diversi.	(1) Trasferiamo le Informazioni personali all’interno del Gruppo a cui appartiene l’azienda, previo soddisfacimento dei criteri seguenti: (1) se la condivisione delle Informazioni personali è necessaria a conseguire le finalità per le quali sono state originariamente raccolte o a conseguire un altro legittimo interesse aziendale, e (2) se la finalità su cui poggia la condivisione e in base alla quale verrà effettuata è coerente con l’informativa sulla privacy o con altri meccanismi di trasparenza forniti in precedenza all’individuo al momento della raccolta delle sue Informazioni personali e in favore delle quali l’individuo aveva conferito il proprio consenso, laddove necessario, (3) laddove una sussidiaria della nostra azienda agisca da sola per conto di un’altra sussidiaria nel trattamento delle Informazioni personali, (4) laddove, subordinatamente a un obbligo di legge, sia stato sottoscritto un accordo interno sul trattamento di dati conformemente al Principio 8 della presente Politica. (5) laddove l’infrastruttura informatica richieda tale trasferimento, a condizione che tutte le misure di sicurezza e organizzative appropriate siano in atto per rendere tale trasferimento conforme. (2) Il trasferimento delle informazioni personali a terze parti o tramite terze parti avviene solo nel caso in cui vengano soddisfatti i seguenti requisiti e ci assumiamo la responsabilità di far rispettare tali requisiti dalle terze parti da noi ingaggiate: Se il ruolo della terza parte è trattare le informazioni personali per/per conto della nostra azienda, prima di fornire le informazioni personali alla terza parte o di coinvolgerla: (1) completiamo la procedura di due diligence di privacy per valutare le pratiche di privacy e i rischi associati alle terze parti, (2) sottoscriviamo con le terze parti specifiche clausole contrattuali per cui esse che tratteranno le informazioni personali attenendosi esclusivamente alle istruzioni della nostra azienda e in conformità alla presente Politica, inclusi senza limitazioni tutti gli 8 principi di privacy e gli altri standard definiti nella presente Politica e nelle leggi applicabili, che notificheranno immediatamente alla nostra azienda eventuali incidenti relativi alla privacy, inclusa qualsiasi incapacità nel conformarsi agli standard esposti nella presente Politica e alle leggi applicabili, o alla sicurezza, e coopereranno per rimediare prontamente a eventuali incidenti comprovati e per rispettare i diritti dei singoli esposti nella Sezione 2 di seguito, che non collaboreranno con un’altra azienda per trattare le Informazioni personali senza la nostra autorizzazione scritta e senza sottoscrivere un accordo che preveda gli stessi obblighi in materia di protezione dei dati, che cancelleranno o restituiranno alla nostra azienda tutte le Informazioni personali dopo aver evaso tutti i servizi a noi erogati o su nostra richiesta e che consentiranno alla nostra azienda di controllare e monitorare le loro pratiche per la durata del trattamento, al fine di verificarne la conformità con tali requisiti. Inoltre, se la terza parte tratta informazioni personali originate in un Paese o territorio le cui leggi limitano il trasferimento delle Informazioni personali, verificheremo che il trasferimento alla terza parte soddisfi i requisiti relativi al trasferimento transfrontaliero dei dati descritti al punto (3) di seguito. Se il ruolo della terza parte è fornire informazioni personali alla nostra azienda, prima di ottenere le informazioni personali dalla terza parte, verifichiamo che siano soddisfatti i requisiti di trasparenza nella raccolta di tali informazioni da altre fonti non gestite specificamente dalla nostra azienda e otteniamo dalla terza parte una dichiarazione contrattuale di non violazione di leggi o diritti di terze parti fornendo informazioni personali alla nostra azienda. Se il ruolo della terza parte è ricevere dalla nostra azienda informazioni per il trattamento, prima di fornire tali informazioni alla terza parte verifichiamo che le informazioni siano state rese anonime e che siano state ottenute assicurazioni scritte dalla terza parte secondo cui verranno impiegate solo per i fini aziendali definiti nel contratto e in conformità alle leggi applicabili e non verranno effettuati tentativi di identificazione delle informazioni. Se il trasferimento a una terza parte è subordinato a un obbligo di legge o necessario a tutelare gli interessi legittimi dell’individuo o dell’azienda, possiamo trasferire le informazioni: (1) ai fini di prevenzione delle frodi o di esercitare o tutelare i diritti e i beni dell’azienda, (2) ai fini della tutela personale della sicurezza dei nostri dipendenti o terze parti in relazione ai nostri beni o (3) allo scopo di proteggere le nostre attività adottando provvedimenti di sicurezza correttivi nel caso in cui disponiamo di basi ragionevoli per presumere che si sia verificata un’attività illecita o una condotta impropria grave. Se la terza parte è obiettivo di un’acquisizione o di controllo da parte della nostra azienda, (1) prima di stipulare un accordo di acquisizione o di controllo della terza parte, completiamo la procedura di due diligence di privacy per valutare le pratiche di privacy e i rischi associati all’acquisizione o al controllo della terza parte e (2) stipuliamo un accordo per il trasferimento dati che specifichi i termini e condizioni in base ai quali le informazioni personali possono essere divulgate e i rispettivi obblighi della nostra azienda e della terza parte. Se il ruolo della terza parte è acquisire in tutto o in parte l’attività della nostra azienda, prima di condividere informazioni personali in connessione con l’alienazione di una parte dell’attività dell’azienda, (1) stipuliamo un contratto di trasferimento dati che specifichi i termini e condizioni in base ai quali le informazioni personali possono essere divulgate all’acquirente, incluse le adeguate limitazioni riguardanti gli usi consentiti delle informazioni personali e la conformità allo standard esposto nella presente Politica e nella legge applicabile, (2) esaminiamo tutti i dati personali prima di condividerli, per valutare i requisiti di condivisione, (3) otteniamo il consenso alla condivisione di informazioni personali o informazioni sensibili in conformità ai principi di trasparenza e limitazione dei fini della presente Politica e (4) richiediamo alle terze parti di comunicare prontamente alla nostra azienda eventuali incidenti di privacy, inclusa qualsiasi incapacità nel conformarsi agli standard esposti nella presente Politica e nelle leggi applicabili e di cooperare per rimediare prontamente a eventuali incidenti comprovati o di terminare il trattamento delle informazioni personali in questione. (3) Il trasferimento delle informazioni personali tra Paesi, inclusi gli Stati Uniti, e dalla/per conto della nostra azienda avviene in conformità alla presente Politica. Applicheremo la stessa ai trasferimenti di informazioni personali da un altro Paese o territorio che abbia in vigore una legge che limita il trasferimento di informazioni personali oltre ad adempiere ad obblighi imposti da tali leggi (inclusa l’adozione di meccanismi necessari per i trasferimenti transfrontalieri) a Paesi che non hanno gli stessi standard di protezione dei dati del Paese d’origine).
   8. Consentito dalla legge: trattiamo le informazioni personali solo se i requisiti delle leggi applicabili sono soddisfatti.	Mentre gli altri 7 principi di privacy, così come i requisiti dei diritti individuali descritti di seguito, servono a garantire che siano soddisfatti i requisiti della maggior parte delle leggi sulla privacy e la protezione dei dati che si applicano alla nostra attività a livello mondiale, in alcuni Paesi dobbiamo soddisfare ulteriori requisiti, tra cui i seguenti: 1) Laddove richiesto, otterremo forme specifiche di consenso per alcuni trattamenti di informazioni personali, tra cui l’approvazione del trattamento da parte di consigli dei lavoratori e altre organizzazioni sindacali; 2) Laddove richiesto, registreremo il trattamento delle informazioni personali presso l’autorità Garante Privacy; 3) Laddove richiesto, forniremo diritti di accesso e correzione più ampi di quanto descritto nella presente Politica; 4) Laddove richiesto, limiteremo ulteriormente i periodi di conservazione dei dati per le informazioni personali; 5) Laddove richiesto, stipuleremo contratti contenenti clausole specifiche, inclusi i contratti per il trasferimento dei dati transfrontalieri a terze parti. 6) Laddove richiesto, divulgheremo le informazioni personali in risposta a richieste legali da parte delle autorità pubbliche, incluso il soddisfacimento dei requisiti di sicurezza nazionale o di applicazione della legge. In caso di conflitto tra la presente Politica e una legge applicabile, prevarrà lo standard che prevede una maggiore protezione degli individui.

2. Risponderemo con sollecitudine alle richieste degli individui circa i loro diritti all’accesso, alla modifica, alla correzione o eliminazione delle Informazioni personali o di opposizione al trattamento delle Informazioni personali che li riguardano o di richiesta di esercitare i loro diritti in relazione alle loro Informazioni personali.
   1. Accesso, correzione, eliminazione e altri diritti: le leggi della maggior parte dei Paesi in cui operiamo prevedono per gli individui diritti di accesso alle informazioni personali che li riguardano e alla modifica, alla correzione o all’eliminazione delle informazioni personali imprecise, incomplete o obsolete. Daremo seguito a tutte le richieste di accesso, correzione ed eliminazione delle informazioni personali da tutti gli individui, in conformità con la Sezione 3a di seguito. Se una richiesta di accesso, correzione o eliminazione è governata da una legge applicabile che fornisce maggiore protezione individuale, garantiremo che i requisiti aggiuntivi di tale legge siano soddisfatti.

      In alcuni Paesi, è possibile che gli individui dispongano di altri diritti in relazione alle Informazioni personali che li riguardano, tra cui il diritto a limitare il trattamento, a opporsi al trattamento (consultare la Sezione 2b riportata di seguito) e a richiedere il trasferimento dei loro dati a un altro fornitore di servizi. Rispetteremo i diritti relativi ai dati conformemente alle leggi applicabili. Alcuni diritti, come la cancellazione, possono essere limitati in base ad altri requisiti normativi o alla necessità di conformarsi agli obblighi locali di rendicontazione sulla compliance, in tal caso vi informeremo su queste limitazioni come applicabile.

   2. Scelta: conformemente ai valori di privacy “Rispetto” e “Fiducia”, diamo seguito alle richieste degli individui di negare il consenso al trattamento delle informazioni personali, come la rinuncia a programmi e attività a cui avevano in precedenza accettato di partecipare, il trattamento delle informazioni personali che li riguardano per comunicazioni di marketing dirette, comunicazioni mirate basate sulle informazioni personali e qualunque valutazione o decisione che li riguardi e che possa avere effetti significativi su di loro, eseguita con l’uso di processi automatizzati o algoritmi.
   1. Salvo i casi previsti dalla legge, possiamo negare la scelta, laddove una scelta particolare possa costituire un impedimento per la nostra azienda nella sua capacità di: (1) conformarsi a una legge o a un obbligo etico, anche nel caso in cui siamo tenuti a divulgare informazioni personali in risposta a richieste legali da parte delle autorità pubbliche, incluso il soddisfacimento dei requisiti di sicurezza nazionale e di applicazione della legge, (2) investigare, esercitare o difendere azioni legali e (3) stipulare contratti, amministrare relazioni o impegnarsi in altre attività aziendali consentite dai principi di trasparenza e limitazione dei fini e che siano state avviate in relazione alle informazioni personali in questione. Entro quindici giorni lavorativi da ogni decisione di negare una richiesta di scelta in conformità con la presente Politica, documenteremo e comunicheremo la decisione al richiedente.
3. Replicheremo con sollecitudine e inoltreremo agli uffici preposti tutte le domande collegate alla privacy, i reclami, i dubbi e i possibili incidenti di privacy o sicurezza.
   1. Tutti gli individui per i quali trattiamo le informazioni personali nell’ambito della presente Politica possono inoltrare una domanda, un reclamo o un dubbio alla nostra azienda in qualunque momento, incluse le richieste di elenchi di tutte le sussidiarie della nostra azienda soggette alla presente Politica. Ci aspettiamo che tutti i dipendenti e coloro che operano per conto della nostra azienda forniscano notifiche tempestive laddove abbiano motivo di pensare che una legge applicabile possa impedire loro di conformarsi alla presente Politica. Tutte le domande, i reclami o i dubbi di un individuo, o qualunque notifica fornita da un dipendente o da qualunque altra persona che operi per conto della nostra azienda, devono essere dirette all’ufficio globale per la privacy di MSD:
      1. Tramite e-mail per gli individui residenti nello Spazio economico europeo (SEE) a: euprivacydpo@msd.com
      2. Altrimenti tramite e-mail a: msd_privacy_office@msd.com
      3. Tramite posta ordinaria all’indirizzo: Privacy Office, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, USA 19454.
   2. Dipendenti e consulenti sono tenuti a informare tempestivamente l’ufficio globale per la privacy o il responsabile per la privacy incaricato per la propria area commerciale di eventuali domande, reclami o dubbi legati alle procedure della nostra azienda in materia di privacy.
   3. L’ufficio globale per la privacy effettuerà esami e indagini o collaborerà con l’ufficio per l’etica, legale e/o della compliance, per approfondire tutte le questioni, i reclami e i dubbi collegati alle procedure della nostra azienda in materia di privacy, ricevute direttamente dai dipendenti o da altri individui o tramite terze parti, tra cui le agenzie normative, e altre autorità statali. Risponderemo al singolo o all’entità che ha sollevato la domanda o il dubbio alla nostra azienda entro trenta (30) giorni, a meno che una legge o una terza parte non richieda una risposta in un periodo di tempo più breve o che le circostanze, ad esempio un’indagine concomitante, comportino un periodo di tempo più lungo. In questo caso, il richiedente singolo o la terza parte riceverà appena possibile una notifica in forma scritta con l’indicazione della natura generale delle circostanze che contribuiscono al ritardo.
   4. L’ufficio globale per la privacy di MSD, coordinandosi con l’ufficio legale e quello della compliance, collaborerà per rispondere a qualunque inchiesta, ispezione o indagine da parte di un’autorità normativa in materia di privacy.
   5. Per i reclami che non possono essere risolti tra la nostra azienda e l’individuo che ha sollevato il reclamo, l’azienda ha accettato di partecipare alle seguenti procedure di indagine e risoluzione dei reclami per risolvere le dispute in base alla presente Politica; tuttavia, in qualunque momento, i residenti nell’area SEE o gli individui le cui informazioni personali sono soggette alla legge sulla protezione dei dati dell’area SEE e trasferite al di fuori di tale area possono anche contare sullo standard 3.f. descritto di seguito:
   1. per le controversie riguardanti il trasferimento dei dati personali relativi alle attività delle risorse umane e raccolti in un contesto di rapporto lavorativo dall’EEA e dal Regno Unito agli USA, la nostra azienda si impegna inoltre a cooperare con le autorità di protezione dei dati dell’UE e del Regno Unito.
   2. per le controversie che riguardano il trasferimento di informazioni personali relative alle attività delle risorse umane nel contesto di un rapporto di lavoro dalla Svizzera agli Stati Uniti, la nostra azienda si impegna a collaborare con l’agenzia svizzera FDIPC.
   3. per le dispute che coinvolgono il trasferimento di informazioni personali in base alla conformità della nostra azienda alle Regole in materia di privacy transfrontaliera (Cross-Border Privacy Rules, “CBPR”) della Cooperazione Economica Asiatico-Pacifica (“APEC”), tra le Economie APEC, la nostra azienda ha accettato di optare per la risoluzione di controversie tramite il nostro agente responsabile, BBB National Programs. Per ulteriori informazioni sull’ambito della nostra partecipazione o per inviare una richiesta di informazioni sulla privacy tramite BBB National Programs, fare clic sul sigillo ufficiale situato in fondo a questa pagina.
   4. Per qualsiasi controversia inerente al trasferimento delle Informazioni personali relative ad attività delle risorse non umane tramite il programma Data Privacy Framework (DPF) UE-USA, estensione del Regno Unito al DPF e sul programma Svizzera-USA Data Privacy Framework UE-USA, la nostra azienda ha accettato la risoluzione delle controversie (gratuita) tramite un meccanismo di ricorso indipendente, Data Privacy Framework Services, gestito da BBB National Programs. Se non si riceve una conferma tempestiva del reclamo, o se il reclamo non viene affrontato in modo soddisfacente, visitare https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumers per maggiori informazioni e per presentare un reclamo.
   5. Per qualsiasi controversia nell’ambito del programma Data Privacy Framework (DPF) UE-USA, estensione del Regno Unito al DPF e sul programma Svizzera-USA Data Privacy Framework UE-USA che non venga risolta tramite i passaggi descritti in questa sezione, in determinate condizioni, i soggetti potranno invocare un arbitrato vincolante per alcuni crediti residui non risolti da altri meccanismi di ricorso. Consultare https://www.dataprivacyframework.gov/s/article/G-Arbitration-Procedures-dpf?tabset-35584=2.
   6. Tutti i residenti nell’area SEE, o gli individui le cui informazioni personali sono soggette alla legge sulla protezione dei dati dell’area SEE e trasferite al di fuori di tale area, le cui informazioni vengono trattate in base alla presente Politica, hanno il diritto, , di invocarne in qualunque momento i requisiti in qualità di beneficiari esterni, incluso il diritto di intraprendere un’azione giudiziaria per violazione dei propri diritti sanciti da questa Politica (come indicato nella Sezione 2 sopra riportata) e il diritto di ricevere un indennizzo per i danni risultanti da tale violazione. I residenti nell’area SEE o gli individui le cui informazioni personali sono soggette alla legge sulla protezione dei dati dell’area SEE e trasferite al di fuori di tale area (inclusi gli Stati Uniti), possono, in base alla presente Politica, intraprendere un’azione legale o inoltrare un reclamo nei confronti di la sussidiaria dell’azienda responsabile dell’esportazione dei dati personali al di fuori del SEE davanti a:
      1. La giurisdizione dell’Esportatore dei Dati ubicato nell’area SEE oppure
      2. La giurisdizione del Paese in cui si trova il nostro Responsabile della protezione dei dati europeo oppure
      3. Le autorità competenti per la protezione dei dati (in particolare nello Stato membro della sua residenza abituale, del suo luogo di lavoro o del luogo della presunta violazione) oppure
      4. Le nostre Autorità responsabili della protezione dei dati che hanno disposto le nostre BCR: la CNIL francese.
   7. La nostra azienda risponderà al singolo o all’entità che ha sollevato la domanda, il reclamo o il dubbio entro trenta (30) giorni, a meno che una legge o una terza parte non richieda una risposta in un periodo di tempo più breve o che le circostanze comportino un periodo di tempo più lungo. In questo caso, il richiedente singolo o la terza parte riceverà una notifica in forma scritta.
4. Abbiamo la responsabilità di rispettare i nostri valori e i nostri standard in materia di privacy.
   1. La sussidiaria della nostra azienda responsabile di un’azione che dia adito a un incidente di privacy o un incidente di sicurezza comprovato è finanziariamente responsabile del risarcimento dovuto per eventuali danni o sanzioni amministrative o penalità derivanti da tali incidenti.
      1. In coordinamento con e sotto la direzione dell’ufficio globale per la privacy, il Responsabile della protezione dei dati europeo deve garantire che vengano adottate tutte le azioni necessarie per affrontare le presunte violazioni della presente Politica da parte delle sussidiarie della nostra azienda al di fuori dell’area SEE e che abbiano effetto sui residenti dell’area SEE o sugli individui le cui informazioni personali sono soggette alla legge sulla protezione dei dati dell’area SEE e trasferite al di fuori di tale area. Laddove richiesto, Merck, Sharp & Dohme (Europe) Inc., USA – Filiale del Belgio (“MSD Europe”) è responsabile di pagare le sanzioni amministrative, le penalità o i danni riconosciuti per le violazioni della presente Politica che abbiano effetto sui residenti dell’area SEE o sugli individui le cui informazioni personali sono soggette alla legge sulla protezione dei dati dell’area SEE e trasferite al di fuori di tale area. Con il supporto dell’ufficio globale per la privacy e della sussidiaria della nostra azienda al di fuori dell’area SEE responsabile della presunta violazione, il Responsabile della protezione dei dati europeo dovrà dimostrare che la nostra azienda non è responsabile di tale violazione. Laddove un’altra sussidiaria della nostra azienda sia responsabile dell’azione che ha determinato la sanzione amministrativa, la penalità o il riconoscimento dei danni, a tale sussidiaria potrà essere richiesto di rimborsare immediatamente MSD Europe per le cifre da essa versate. Nel caso in cui una sussidiaria della nostra azienda all’esterno dell’area SEE violi la presente Politica, si applicherà la giurisdizione dei tribunali o delle autorità per la protezione dei dati dell’area SEE e i soggetti interessati potranno avvalersi dei diritti e risarcimenti nei confronti della sussidiaria dell’azienda responsabile dell’esportazione delle Informazioni personali al di fuori dell’area SEE, come indicato nella Sezione 3.f sopra riportata.
      2. In coordinamento con e sotto la direzione dell’ufficio globale per la privacy, Merck Sharp & Dohme LLC deve garantire che vengano adottate tutte le azioni necessarie per affrontare le presunte violazioni della presente Politica che abbiano effetto sui residenti al di fuori dell’area SEE e, laddove richiesto, pagare le sanzioni amministrative, le penalità o i danni riconosciuti per le violazioni della presente Politica che abbiano effetto sui residenti al di fuori dell’area SEE o sugli individui le cui informazioni personali non sono soggette alla legge sulla protezione dei dati dell’area SEE. Laddove un’altra sussidiaria della nostra azienda sia responsabile dell’azione che ha determinato la sanzione amministrativa, la penalità o il riconoscimento dei danni, a tale sussidiaria potrà essere richiesto di rimborsare immediatamente Merck Sharp & Dohme LLC. per le cifre da essa versate.

Supervisione e monitoraggio

Per fornire assicurazione agli organi governativi e ad altri interlocutori sull’impegno della nostra azienda nei confronti delle pratiche etiche e responsabili, l’azienda continua a mantenere un gruppo di governance per il controllo e il monitoraggio, guidato da un responsabile della privacy con un ufficio per la privacy corporate (Global Privacy Office, GPO) dedicato, un responsabile della protezione dei dati (DPO) dell’UE, DPO locali laddove richiesto dalla legge o dalle autorità locali e sovrintendenti della privacy nominati dai dirigenti senior e che fungono da mediatori tra l’ufficio per la privacy corporate e le aree dell’organizzazione in cui operano.

La nostra azienda potrà contare su personale addetto al rispetto della privacy che dovrà verificarne periodicamente la conformità ai requisiti della presente Procedura e alle leggi, incluse le regole CBPR dell’area APEC.

Oltre ai riesami di garanzia della conformità gestiti dall’ufficio per la privacy corporate, team esterni e interni preposti alla garanzia della compliance e al controllo, svolgeranno revisioni di conformità per verificare l’adempienza alla presente Procedura da parte dell’Azienda, incluse le politiche, le procedure, gli standard e le linee guida subordinate alla presente. Saranno sviluppati e implementati piani di azione correttivi e dissuasivi per correggere le incongruità identificate rispettivamente dai team di controllo e di garanzia della conformità. I risultati del programma di controllo (Audit Program) saranno comunicati al responsabile per la privacy, il DPO pertinente e al consiglio per la protezione dei dati responsabile di documentarli come delineato nel presente documento.

Le autorità per la privacy e la protezione dei dati che hanno approvato la presente Procedura o hanno potere decisionale sulle pratiche della nostra azienda in base alla stessa, hanno il diritto di verificare la nostra conformità ad essa. Siamo tenuti a rispettare le raccomandazioni di queste autorità riguardo all’interpretazione e all’applicazione della Politica.

Termini che dovete conoscere

• Anonimizzazione. Alterazione, troncamento, cancellazione o altro tipo di redazione o modifica delle informazioni personali, in maniera tale da impedirne irreversibilmente l’utilizzo per identificare, localizzare o contattare un individuo, singolarmente o unitamente ad altre informazioni.
• Legge. Tutte le leggi, le regole, i regolamenti e le ordinanze applicabili che hanno forza di legge in un Paese in cui la nostra azienda opera oppure in cui le informazioni personali vengono trattate da o per conto della nostra azienda. Ciò include tutti i quadri in riferimento alla privacy in base ai quali la nostra azienda è stata approvata o certificata, comprese le norme aziendali vincolanti dell’UE (“BCR”), la cooperazione economica dell’Asia Pacifico (“APEC”) (Norme sulla privacy transfrontaliere – “CBPR”), il programma Data Privacy Framework (DPF) UE-USA, estensione del Regno Unito al DPF e sul programma Svizzera-USA Data Privacy Framework UE-USA – sotto i poteri di investigativi ed esecutivi della Federal Trade Commission degli Stati Uniti.
• La nostra azienda. Merck & Co., Inc., Rahway, NJ, USA, i propri successori, le proprie sussidiarie e divisioni a livello mondiale, escluse le joint venture di cui l’azienda fa parte.
• Informazioni personali. Qualunque dato riguardante un individuo identificato o identificabile, inclusi i dati che identificano un individuo o che possono essere usati per identificare, individuare, tracciare o contattare un individuo. Le Informazioni personali includono sia informazioni direttamente identificabili, come nome, numero di identificazione o titolo lavorativo univoco, sia informazioni indirettamente identificabili, come data di nascita, identificativo univoco di dispositivo mobile o indossabile, numero di telefono, nonché dati codificati con chiave, identificativi online come Indirizzi IP o qualsiasi attività, comportamento o preferenza personali che possono essere raccolti per fornire servizi o prodotti.
• Incidente sulla privacy. Una violazione della presente Politica o di una legge sulla privacy o la protezione dei dati, che include un incidente di sicurezza. L’ufficio globale per la privacy, il reparto ITRMS (Information Technology Risk Management and Security) e l’ufficio del consiglio generale hanno la responsabilità di stabilire se sia avvenuto un incidente di privacy e se sia da ritenersi un Violazione dei Dati Personali.
• Trattamento. L’esecuzione di qualsiasi operazione o serie di operazioni sulle Informazioni personali, con o senza mezzi automatici, inclusi, tra gli altri, la raccolta, la registrazione, l’organizzazione, l’archiviazione, l’accesso, l’adattamento, l’alterazione, il recupero, la consultazione, l’utilizzo, la valutazione, l’analisi, il reporting, la condivisione, la divulgazione, la diffusione, la trasmissione, la disponibilità, l’allineamento, la combinazione, il blocco, l’eliminazione, la cancellazione o la distruzione.
• Violazione dei dati personali. Una violazione della sicurezza, o presunta tale dalla nostra azienda, che comporta l’accidentale o illegittima distruzione, perdita, alterazione, divulgazione o accesso non autorizzato alle Informazioni personali. L’accesso alle informazioni personali da parte o per conto della nostra azienda senza l’intento di violare la presente Politica non costituisce una Violazione dei Dati Personali, a patto che le informazioni a cui si accede vengano utilizzate e divulgate solo nei limiti consentiti dalla stessa.
• Informazioni sensibili. Qualunque tipo di Informazione personale che comporti un rischio intrinseco di danni potenziali a individui, come le informazioni definite dalla legge come sensibili, incluse, tra le altre, le informazioni relative allo stato di salute, la genetica, i dati biometrici, la razza, l’etnia, la religione, le opinioni politiche o le convinzioni filosofiche, i precedenti penali, informazioni di geolocalizzazione precise, numeri di conti bancari o simili, numeri di documenti di identificazione emessi dallo Stato, informazioni su minori, vita e orientamento sessuale, iscrizione a organizzazioni sindacali, assicurazione, previdenza sociale e altri benefit erogati dal datore di lavoro o di natura pubblica.
• Terza parte. Qualunque entità legale, associazione o persona non controllata dalla nostra azienda oppure nella quale la nostra azienda non abbia un assetto di controllo o che non sia dipendente della nostra azienda. Salvo quanto espressamente stabilito nella presente Politica, nessuna sussidiaria o divisione della nostra azienda è tenuta a soddisfare i requisiti di una terza parte, in quanto a tutte le sussidiarie o divisioni viene richiesto di trattare le informazioni personali in conformità alla presente Politica, incluse le circostanze in cui una delle sussidiarie dell’azienda supporti una o più altre sussidiarie nel trattamento.

Modifiche alla presente Politica

Questa Politica potrà essere modificata di volta in volta, conformemente ai requisiti della legge applicabile. Un avviso sarà pubblicato sulla pagina Web sulla privacy della nostra azienda (https://www.msdprivacy.com/) per 60 giorni ogni volta che la presente Politica viene modificata in modo sostanziale.