POLÍTICA SOBRE REGRAS GLOBAIS DE PRIVACIDADE TRANSFRONTEIRIÇA

Na Merck & Co., Inc. (Kenilworth, NJ, EUA), conhecida como MSD fora dos Estados Unidos e Canadá, a nossa missão de salvar e melhorar vidas estende-se ao respeito pela privacidade e proteção da informação pessoal.

Tentamos realizar a nossa atividade de acordo com os nossos valores de privacidade porque acreditamos que demonstram um compromisso inabalável para com práticas éticas e responsáveis. Reconhecemos que a inovação e a nova tecnologia promovem uma alteração contínua nos riscos, expetativas e leis, por isso cumprimos normas de responsabilidade sobre privacidade e tentamos adaptar-nos a elas em resposta a essas alterações.

Esta Política define as nossas normas globais para gestão e proteção de Informação Pessoal por ou em nome da nossa empresa que, direta ou indiretamente, tenha origem em qualquer país do Espaço Económico Europeu (“EEE”), Suíça ou qualquer membro da Cooperação Económica Ásia-Pacífico (“CEAP”) e seja transferida para qualquer outro país, incluindo transferências entre o EEE e a CEAP. Descreve os compromissos principais, que apoiam o cumprimento das nossas Regras de Privacidade Transfronteiriça APEC de certificação, das nossas Regras Empresariais Obrigatórias (Binding Corporate Rules, BCR), aprovadas na União Europeia e da nossa autocertificação de conformidade com o Escudo de Proteção da Privacidade da UE-EUA. Aplica-se às nossas operações em todos os países, a todas as atividades que realizemos que envolvam informação acerca de pessoas em todas as subsidiárias e todas as divisões (incluindo por quaisquer sucessores do nosso negócio), incluindo, mas não limitado às nossas atividades de investigação, fabrico, comércio e apoio corporativo, e serviços e soluções de cuidados de saúde, e as transferências de dados necessárias para realizar essas atividades, incluindo, mas não se limitando a:

  • Investigação e Fabrico: avaliar as necessidades e oportunidades para inovação médica e de saúde; iniciar, gerir e financiar estudos de investigação; avaliar e comunicar com investigadores, membros de comités científicos e éticos e parceiros de negócios para apoiar os nossos estudos de investigação e o desenvolvimento dos nossos produtos; recrutamento para estudos de investigação; avaliar a segurança, eficácia e qualidade dos nossos produtos de investigação e daqueles que comercializamos; corresponder às obrigações de segurança e qualidade de produto, incluindo gerir e comunicar eventos adversos e queixas sobre a qualidade do produto; solicitar aprovação e registo dos nossos produtos junto de autoridades reguladoras; e cumprir requisitos legais, regulatórios ou éticos associados;
  • Comercial: avaliar os mercados para os nossos produtos; publicitar, comercializar, vender, distribuir e providenciar os nossos produtos; comunicar e criar relações com clientes profissionais de cuidados de saúde, entidades pagadoras de serviços de saúde, pacientes e outros utilizadores finais dos nossos produtos, bem como cuidadores daqueles que usam os nossos produtos; patrocinar e realizar eventos; avaliar e comunicar com parceiros de negócios para apoiar as nossas atividades comerciais; e cumprir os requisitos legais, regulatórios ou éticos associados;
  • Apoio Corporativo: recrutar, contratar, gerir, desenvolver, comunicar com e remunerar os funcionários; administrar benefícios dos funcionários e seus dependentes; realizar avaliações de desempenho e talento de funcionários, facultar formação e outros programas de aprendizagem e desenvolvimento; realizar audiências disciplinares e de reclamações de funcionários; gerir preocupações de ética e efetuar investigações; gerir e proteger os nossos ativos físicos, virtuais e infraestrutura; aprovisionar e pagar bens e serviços; cumprir os nossos compromissos ambientais, de saúde e segurança e outros de responsabilidade corporativa; comunicar com a comunicação social; e cumprir os requisitos legais, regulamentares ou éticos associados.
  • Serviços e Soluções de Cuidados de Saúde: melhorar o valor dos cuidados prestados aos pacientes em todo o mundo através de serviços e soluções baseados em evidência, focados em serviços clínicos, soluções de envolvimento e analítica de saúde.

Esta Política também se aplica a todas as pessoas sobre quem processamos informação, incluindo, mas não se limitando aos nossos clientes profissionais de cuidados de saúde e outros clientes; potenciais, atuais e antigos funcionários e os seus dependentes, pacientes, cuidadores, investigadores e participantes em estudos de investigação, membros de comité de ética e científico, parceiros comerciais, investidores e acionistas, responsáveis governamentais e outras partes interessadas.

Todos os Funcionários da Empresa e Responsáveis Máximos têm responsabilidades de privacidade fundamentais que devem manter.

Reconhecemos que equívocos e erros inadvertidos relacionados com a proteção da informação sobre pessoas possam originar riscos de privacidade para indivíduos e riscos reputacionais, operacionais, financeiros e de conformidade para a nossa Empresa. Proporcionaremos formação adequada sobre a presente Política a todos os funcionários e outros membros do pessoal que tenham acesso permanente ou regular a Informações Pessoais, que estejam envolvidos na recolha de dados ou no desenvolvimento de ferramentas utilizadas no tratamento de Informações Pessoais. Cada funcionário da nossa empresa, e outros que processam informação sobre pessoas da nossa empresa, é responsável por compreender e manter as suas obrigações ao abrigo desta Política e leis aplicáveis.

Os nossos valores e normas de privacidade

Mantemos os nossos valores de privacidade em tudo o que fazemos que envolva pessoas, incluindo como aplicamos as nossas normas de privacidade. Os nossos quatro valores de privacidade são:

Respeito

Confiança

Prevenção de danos

Conformidade

Reconhecemos que as preocupações de privacidade estão muitas vezes relacionadas com a essência de quem somos, como vemos o mundo e como nos definimos. Esforçamo- nos, por isso, por respeitar as perspetivas e interesses dos indivíduos e comunidades, e por sermos justos e transparentes em como usamos e partilhamos a informação que nos prestam.

Sabemos que a confiança é vital para o nosso sucesso, por isso, envidamos esforços para criar e preservar a confiança dos nossos clientes, funcionários, pacientes e outras partes interessadas em como respeitamos a privacidade e protegemos informação pessoal.

Compreendemos que o uso indevido da informação pessoal possa criar danos tangíveis e intangíveis aos indivíduos, por isso, procuramos evitar danos físicos, financeiros, reputacionais e outros tipos de danos de privacidade aos indivíduos.

Aprendemos que as leis e regulamentos não podem acompanhar sempre a rápida mutação nas tecnologias, fluxos de dados e mudanças associadas nos riscos e expectativas de privacidade, por isso, envidamos esforços para cumprir o espírito e letra das leis e regulamentos de proteção de dados e privacidade de uma forma que incentive a consistência e eficiência operacional para as nossas operações comerciais globais.

  1. Incorporamos as nossas normas de privacidade em todas as atividades, processos, tecnologias e relações com terceiros que usam Informação Pessoal. Também incorporamos controlos de privacidade nos nossos processos e tecnologias que sejam consistentes com os nossos valores de privacidade e normas e a lei aplicável. Os nossos 8 princípios de privacidade indicados abaixo resumem as nossas normas de privacidade e principais requisitos para os processos, atividades e as suas tecnologias de suporte a um nível mais elevado.

    Princípios de Privacidade

    Os nossos Principais Compromissos

    1. Necessidade – antes de recolher, usar ou partilhar Informação Pessoal, definimos e documentamos os objetivos comerciais específicos e legítimos para os quais são necessários.

    • Determinamos e documentamos por quanto tempo a Informação Pessoal é necessária para dar cumprimento aos objetivos comerciais definidos e requisitos legais aplicáveis.
    • Não recolhemos, usamos ou partilhamos mais Informação Pessoal que a necessária nem a retemos numa forma identificável durante mais tempo do que o necessário, para dar cumprimento aos objetivos comerciais definidos e requisitos legais aplicáveis.
    • Tornamos os dados anónimos quando os requisitos comerciais necessitam que a informação sobre a atividade ou processo seja
    • Asseguramos que esses requisitos de necessidade sejam incorporados em qualquer tecnologia de suporte e que sejam comunicados a terceiros que suportam a atividade ou processo.

    2. Justiça – não processamos a Informação Pessoal de forma a que seja injusto para as pessoas com as quais se relacionam os dados.

    • Determinamos se a recolha, uso ou outros processos propostos de Informação Pessoal apresentam um risco provável e/ou grave de danos tangíveis ou intangíveis a indivíduos de acordo com o nosso valor de privacidade de Prevenção de Danos.
    • Se a natureza dos dados, tipos de pessoas ou a atividade apresentarem um risco provável e/ou grave de danos tangíveis ou intangíveis a indivíduos, asseguramos que o risco de danos é compensado por um benefício correspondente para aqueles indivíduos, ou para a nossa missão de salvar e melhorar vidas, e que é mitigado pelas medidas, garantias e mecanismos que aplicamos.
    • Sempre que o risco pareça sobrepor-se aos benefícios para os indivíduos, apenas processamos a Informação Sensível ou Informação Pessoal com o consentimento explícito dos indivíduos, como expressamente requerido ou expressamente permitido pela lei aplicável ou conforme expressamente autorizado por uma autoridade reguladora competente.
    • Documentamos a análise de risco e concebemos quaisquer mecanismos para obter e documentar evidências de consentimento em tecnologias de suporte.

    3. Transparência – não processamos Informação Pessoal de forma ou para objetivos que não sejam transparentes.

    • Todos os indivíduos sobre quem a Informação Pessoal é processada ao abrigo desta Política terão o direito a uma cópia desta Política. Disponibilizaremos cópias desta Política online em www.msdprivacy.com. O Gabinete de Privacidade Global da MSD providenciará cópias eletrónicas e/ou em papel desta Política, a pedido, para os endereços listados na Secção 3.a. abaixo.
    • Quando a Informação Pessoal é recolhida diretamente de indivíduos, informá-los-emos, antes de proceder à recolha das informações e através de um aviso de privacidade claro, evidente e de fácil acesso, ou de meios similares, no que respeita (1) à entidade ou entidades da empresa responsáveis pelo tratamento, (2) aos dados de contacto do Diretor de Privacidade e/ou Diretor de Privacidade de Dados regional/local, (3) à informação a ser recolhida, (4) às finalidades para as quais será usada, (5) ao fundamento jurídico para o tratamento de dados pela MSD, (6) às pessoas com quem será partilhada, incluindo quaisquer requisitos para divulgar Informação Pessoal, em resposta a exigências legais por parte das autoridades públicas, (7) à possibilidade e ao modo como a MSD poderá transferir a Informação Pessoal para outros países incluindo para países terceiros e fora do EEE sempre que relevante , adequado, e viável, (8) ao período de tempo em que será conservada ou os critérios que a MSD utilizará para determinar este período de conservação, (9) à forma como podem colocar uma questão, comunicar uma preocupação ou exercer os seus direitos relativamente à Informação Pessoal que lhes diga respeito, (10) a como podem retirar qualquer consentimento que tenham dado, (11) ao seu direito de apresentar uma reclamação junto de uma autoridade de controlo, (12) qualquer obrigação de fornecer Informações Pessoais e as consequências do incumprimento desta obrigação, (13) qualquer decisão automatizada, incluindo definição de perfis, que poderemoslevar cabo, e (14) uma ligação para esta Política, sempre que possível e adequado.
    • Quando a Informação Pessoal é obtida através de observação, sensores ou outros meios indiretos, pode não ser possível providenciar um aviso de privacidade diretamente ao indivíduo, no momento em que a informação é recolhida. Em tais casos, asseguramos transparência ao indivíduo através de outros meios, tais como publicações ou impressos no dispositivo ou materiais associados ao dispositivo que onde irá obter a informação.
    • Quando a Informação Pessoal é recolhida através do site, aplicação móvel ou outra aplicação ou recurso online, aplicamos normas específicas de tecnologia definidas na nossa Política de Privacidade de Internet e no nosso Compromisso de Privacidade de Cookies para garantir que os requisitos, para haver transparência de acordo com esta Política, foram cumpridos.
    • Quando a Informação Pessoal é recolhida de outras fontes e não especificamente a pedido da nossa empresa, antes de obter a informação, verificamos por escrito que o prestador da informação informou os indivíduos das formas e objetivos para os quais a nossa empresa tenciona usar a informação. Se não puder ser obtida verificação por escrito por parte do prestador da informação, usamos apenas informação tornada anónima ou, antes de usar Informação Pessoal, informamos os indivíduos afetados através de um aviso de privacidade ou de meios semelhantes sobre (1) a entidade ou entidades da nossa empresa responsáveis pelo tratamento da informação, (2) os dados de contacto do Diretor de Privacidade e/ou Diretor de Privacidade de Dados regional/local, (3) que informação a nossa empresa planeia usar, (4) as finalidades para as quais a nossa empresa planeia usá-la, (5) o fundamento jurídico para procedermos o tratamento, (6) com quem a nossa empresa irá partilhá-la, (7) a possibilidade e a forma como a nossa empresa poderá transferir a Informação Pessoal para outros países, incluindo os países relevantes incluindo para países terceiros fora do EEE sempre que relevante , adequado, e viável,, (8) quanto tempo a nossa empresa planeia conservá-la ou os critérios que utilizará para determinar este período de conservação, (9) como podem colocar questões, comunicar uma preocupação ou exercer os seus direitos relativamente à Informação Pessoal que lhes diga respeito, (10) como podem retirar qualquer consentimento que tenham dado, (11) o seu direito de apresentar uma reclamação junto de uma autoridade de controlo, (12) qualquer obrigação de fornecer Informação Pessoal e as consequências do incumprimento desta obrigação, (13) qualquer decisão automatizada, incluindo definição de perfis, que levaremos a cabo, e (14) uma ligação para esta Política, sempre que possível e adequado.
    • Certificamo-nos de que os mecanismos de transparência necessários, incluindo, sempre que possível, mecanismos que suportam os pedidos de direitos individuais, são incorporados nas tecnologias de suporte e que os terceiros, que suportam a atividade ou processo, não processam informação sobre pessoas, de forma que seja inconsistente com a informação que os indivíduos receberam através de um aviso de privacidade ou de outros meios verificáveis sobre aquilo que nós, e outros que trabalham para nós, faremos com a informação.

    4. Limitação de Objetivo – apenas usamos Informação Pessoal de acordo com os princípios da Necessidade e da Transparência.

    • Se novos objetivos comerciais legítimos forem identificados para Informação Pessoal previamente recolhida, ou obtemos o consentimento da pessoa em causa para a nova utilização da Informação Pessoal, ou asseguramos que o novo objetivo comercial é compatível com ou materialmente similar às finalidades descritas num aviso de privacidade ou outro mecanismo de transparência, o qual foi previamente fornecido ao indivíduo. Avaliaremos a compatibilidade com base (1) em qualquer ligação entre as finalidades iniciais e a nova finalidade proposta, (2) nas expetativas razoáveis do indivíduo, (3) na natureza da Informação Pessoal, (4) nas consequências de um tratamento posterior para o indivíduo, e (5) nas salvaguardas por nós aplicadas.
    • Não aplicamos este princípio a informação anonimizada ou quando usamos Informação Pessoal apenas para efeitos de pesquisa histórica e científica, e (1) um Comité de Revisão de Ética, ou outro revisor competente, tenha determinado que o risco de tal utilização para a privacidade e outros direitos dos indivíduos é aceitável e (2) aplicámos salvaguardas adequadas para garantir a minimização dos dados, tal como a pesudonimização, e (3) toda a restante legislação aplicável é respeitada.
    • Asseguramos que as restrições de limitação de objetivo são incorporadas em qualquer tecnologia de suporte, incluindo quaisquer capacidades de comunicação e partilha de dados a jusante.

    5. Qualidade dos Dados – mantemos a Informação Pessoal correta, completa e atual de acordo com o uso pretendido.

    • Asseguramos que os mecanismos de revisão de dados periódicos são incorporados nas tecnologias de suporte para validar a precisão dos dados face a sistemas de origem e a jusante.
    • Asseguramos que a Informação Sensível é validada como precisa e atual antes da sua utilização, avaliação, análise, comunicação ou outros tratamentos que apresentam um risco de injustiça para pessoas, caso sejam usados dados errados ou desatualizados.
    • Sempre que forem efetuadas alterações à Informação Pessoal por parte da nossa empresa ou terceiros que trabalham para a nossa empresa, asseguramos que essas alterações são comunicadas atempadamente às pessoas em causa, sempre que razoavelmente possível.

    6. Segurança – implementamos salvaguardas para proteger Informação Pessoal e Informação Sensível da perda, uso indevido e acesso não autorizado, divulgação, alteração e destruição.

    • Implementámos um programa de segurança de informação abrangente e aplicamos controlos de segurança que têm como base a sensibilidade da informação e o nível de risco da atividade, tendo em conta as atuais melhores práticas de tecnologia e o custo de implementação. As nossas políticas de segurança funcional incluem, mas não se limitam a normas sobre a continuidade empresarial e recuperação de desastre, encriptação, gestão de identidade e acesso, classificação de informação, gestão de incidente de segurança de informação, controlo do acesso da rede, segurança física e gestão de risco.

    7. Transferência de Dados – Somos responsáveis pela preservação e preservamos as proteções de privacidade para Informação Pessoal quando é transferida para ou a partir de outras organizações ou entre fronteiras de países.

    (1) Transferimos Informação Pessoal no seio da Empresa sempre que se verificarem as seguintes situações:

    (1) a partilha é necessária para dar cumprimento à finalidade para a qual a Informação Pessoal foi inicialmente recolhida ou para a prossecução de outro interesse legítimo da empresa, (2) a finalidade para a qual será partilhada e o facto de que será partilhada é compatível com o aviso de privacidade ou outro mecanismo de transparência anteriormente fornecido ou indicado à pessoa em causa quando a Informação Pessoal foi inicialmente recolhida, tendo a pessoa em causa dado o seu consentimento, quando necessário, (3) sempre que uma das nossas subsidiárias atua exclusivamente em nome de outra nossa subsidiária no tratamento da Informação Pessoal, (4) sempre que exigido por Lei, as referidas subsidiárias da nossa empresa executarão um contrato interno de tratamento de dados, nos termos do Princípio 8 da presente Política.

    (2) Apenas transferimos Informação Pessoal para, ou permitimos que seja tratada por terceiros, se os seguintes requisitos forem cumpridos, assumindo nós a responsabilidade de garantir que os terceiros por nós contratados os cumprem igualmente:

    • . Se a função de terceiros for processar a Informação Pessoal para, ou em nome da nossa empresa, antes de providenciar Informação Pessoal a terceiros ou envolvendo terceiros: (1) efetuamos a devida diligência de privacidade para avaliar as práticas de privacidade e riscos associados àqueles terceiros, (2) obtemos garantias contratuais dos terceiros em como irão tratar a Informação Pessoal apenas de acordo com as instruções da nossa empresa e de acordo com esta Política, incluindo sem limitação todos os 8 Princípios de Privacidade e as outras normas definidas nesta Política, e nas Leis em vigor, de que vão notificar rapidamente a nossa empresa de qualquer Incidente de Privacidade, incluindo uma eventual incapacidade de cumprir as normas definidas nesta Política e Leis aplicáveis, ou Incidente de Segurança, colaborando para remediar de imediato qualquer Incidente comprovado e para abordar os direitos individuais definidos na Secção 2 abaixo, que não irão contratar outra empresa para proceder ao tratamento da Informação Pessoal sem a nossa autorização, por escrito, e sem que seja celebrado um contrato que estabeleça obrigações equivalentes de proteção de dados, que irão proceder à eliminação de, ou devolver-nos, toda a Informação Pessoal depois de nos terem prestados os serviços a nós ou a nosso pedido e que vão permitir à nossa empresa auditar e monitorizar as suas práticas durante o tratamento em termos de conformidade com esses requisitos. Adicionalmente, se os terceiros processam a Informação Pessoal que tem origem num país ou território com uma lei que restringe a transferência da Informação Pessoal, vamos assegurar que a transferência para os terceiros cumpre os requisitos para a transferência de dados transfronteiriça descrita no (3) abaixo. Sempre que uma das subsidiárias da nossa empresa age sozinha em nome de uma outra das subsidiárias da nossa empresa no tratamento da Informação Pessoal, sempre que requerido por Lei, essas subsidiárias da nossa empresa irão executar um contrato de tratamento de dados interno, de acordo com os 8 Princípios desta Política.
    • · Se a função dos terceiros for fornecer Informação Pessoal à nossa empresa, antes de obter Informação Pessoal dos terceiros, asseguramos que os requisitos de transparência para recolher a Informação Pessoal de outras fontes, e não especificamente por indicação da nossa empresa, são cumpridos, e obtemos declarações contratuais de terceiros de que não violam qualquer Lei ou direitos de quaisquer terceiros ao providenciar Informação Pessoal à nossa empresa.
    • · Se a função dos terceiros for receber informação da nossa empresa para tratamento, que não seja especificamente por indicação da nossa empresa, antes de providenciar informação aos terceiros, asseguramo-nos de que a informação foi tornada anónima e de que obtemos garantias por escrito de terceiros de que a vão usar apenas para os efeitos comerciais definidos no contrato e de acordo com as leis em vigor, e que não vão tentar reidentificar a informação.
    • · Se a transferência para um terceiro for exigida por lei ou necessária para a proteção dos interesses legítimos da pessoa em causa ou da empresa, poderemos transferir a informação: (1) para fins de prevenção da fraude ou para fazer valer ou proteger os direitos e os bens da empresa, (3) para proteger a segurança pessoal dos nossos funcionários ou de terceiros nas nossas instalações, ou (3) para proteger os nossos ativos, através da adoção de medidas corretivas em matéria de segurança, no caso de termos motivos razoáveis para acreditar que ocorreu uma atividade ilícita ou uma falta grave.
    • · Se os terceiros são um alvo para aquisição ou participação de controlo por parte da nossa empresa, (1) antes de realizar um contrato para adquirir os terceiros ou para adquirir uma participação de controlo nos terceiros, efetuamos a devida diligência de privacidade para avaliar as práticas de privacidade e os riscos associados à aquisição daquele terceiro ou de um interesse de controlo nesse terceiro e (2) realizamos um contrato de transferência de dados que especifica os termos e condições ao abrigo dos quais a Informação Pessoal pode ser divulgada e as respetivas obrigações da nossa empresa e dos terceiros.
    • · Se a função dos terceiros for adquirir a totalidade ou parte do negócio da nossa empresa, antes de partilhar qualquer Informação Pessoal relativamente a uma alienação de qualquer parte do negócio da nossa empresa, (1) realizamos um contrato de transferência de dados que especifica os termos e condições ao abrigo do qual a Informação Pessoal pode ser divulgada ao comprador, incluindo as limitações adequadas, em relação às utilizações permitidas da Informação Pessoal e em conformidade com a norma definida nesta Política e Legislação aplicável (2) revemos todos os elementos de dados sobre as pessoas antes de partilhar, para avaliar os requisitos da partilha, (3) obtemos consentimento para partilhar Informação Pessoal ou Informação Sensível, de acordo com os princípios de Transparência e Limitação de objetivos desta Política, e (4) exigimos que o terceiro notifique, de imediato, a nossa empresa, em relação a qualquer Incidente de Privacidade aplicável, incluindo qualquer não cumprimento das normas definidas nesta Política e Legislação aplicável e coopere na reparação imediata de qualquer Incidente comprovado ou suspenda o Tratamento da Informação Pessoal em questão.

    (3) Transferimos a Informação Pessoal entre fronteiras de países, incluindo para os Estados Unidos da América, por ou em nome da nossa empresa, de acordo com esta Política. Iremos também aplicar esta Política a transferências da Informação Pessoal de qualquer outro país, ou território, com uma lei que restrinja a transferência da Informação Pessoal, da mesma forma que cumpriremos os requisitos impostos por essas Leis (incluindo a utilização de quaisquer mecanismos necessários para transferências transfronteiriças).

    8. Legalmente Permissível – apenas processamos Informação Pessoal se os requisitos das leis aplicáveis forem cumpridos.

    • · Enquanto os outros 7 princípios de privacidade, assim como os requisitos de Direitos Individuais, descritos abaixo, se destinam a assegurar que os requisitos da maioria das leis de proteção de privacidade e dados, que se aplicam ao nosso negócio em todo o mundo, foram cumpridos, em alguns países necessitamos de cumprir outro tipo de requisitos, incluindo, mas não se limitando aos seguintes:

      1) Sempre que requerido, obteremos formas específicas de consentimento para determinado tratamento da Informação Pessoal, incluindo, mas não se limitando à aprovação do tratamento por conselhos de empresa e outros sindicatos de trabalhadores;

      2) Sempre que requerido, registaremos o tratamento de Informação Pessoal ou solicitaremos aprovação junto da autoridade reguladora de proteção de privacidade e dados conforme aplicável;

      3) Sempre que requerido, providenciaremos direitos mais abrangentes (por exemplo, de acesso e correção), do que os definidos nesta Política;

      4) Sempre que requerido, limitaremos os períodos de retenção de dados para a Informação Pessoal; e

      5) Sempre que necessário, realizaremos contratos contendo cláusulas contratuais específicas, incluindo contratos para transferências de dados transfronteiriças para terceiros.

      6) Sempre que necessário, divulgaremos informação pessoal em resposta a pedidos legítimos por parte de autoridades públicas, incluindo para cumprir requisitos de segurança nacional ou de cumprimento da lei.

      Em caso de conflito entre esta Política e uma lei aplicável, prevalecerá a norma que ofereça maior proteção aos indivíduos.

  2. 2. Responderemos com rapidez aos pedidos dos indivíduos para aceder, alterar, corrigir ou eliminar Informação Pessoal, ou exercerem o direito de oposição ao tratamento de Informação Pessoal que lhes diga respeito ou de exercício de outros direitos relativamente à Informação Pessoal que lhes diga respeito.
    1. Acesso, correção, eliminação e outros direitos – de acordo com as Leis da maior parte dos países em que operamos, os indivíduos têm o direito de aceder à Informação Pessoal sobre si mesmos e de emendar, corrigir ou eliminar Informação Pessoal que esteja incorreta, incompleta ou desatualizada. Cumpriremos todos os pedidos de acesso, correção e eliminação de Informação Pessoal de todos os indivíduos, de acordo com a Secção 3a abaixo. Se um pedido de acesso, correção ou eliminação for regido por uma Lei aplicável que providencia maior proteção aos indivíduos, asseguramos que os requisitos adicionais dessa Lei são cumpridos. Em alguns países, os indivíduos podem dispor de outros direitos no que diz respeito à Informação Pessoal que lhes diga respeito, tal como o direito de limitar o tratamento, de se oporem ao tratamento (ver também a Secção 2b infra) e de solicitar que os seus dados sejam transferidos para outro prestador de serviços. Respeitaremos o exercício de direitos sobre dados nos termos das Leis aplicáveis.
    2. Escolha – de acordo com os nossos valores de privacidade de “Respeito” e “Confiança”, honramos pedidos individuais de objeção ao tratamento de Informação Pessoal, incluindo, mas não se limitado a optar por não participar em programas ou atividades nas quais concordaram em participar anteriormente, ao tratamento de Informação Pessoal acerca de si para comunicações de marketing direto, a comunicações orientadas com base na Informação Pessoal sobre si e a qualquer avaliação de ou decisões sobre si, as quais tenham o potencial de os afetar significativamente, tomadas através da utilização de automação ou algoritmos.
      1. Exceto onde proibido por Lei, podemos recusar o direito de oposição, caso uma escolha em particular impeça a nossa empresa de: (1) cumprir a Lei ou uma obrigação ética, incluindo nos casos em que somos obrigados a divulgar informação pessoal em resposta a pedidos legítimos por parte de autoridades públicas, incluindo para cumprir requisitos de segurança nacional ou de cumprimento da lei, (2) investigar, efetuar ou defender reivindicações jurídicas, e (3) realizar contratos, administrar relações ou efetuar outras atividades comerciais permitidas que sejam consistentes com os princípios da Transparência e Limitação de Objetivo, e que foram realizadas tendo por base a informação sobre as pessoas em questão. Dentro do prazo de quinze dias úteis, a partir de qualquer decisão de recusa de um pedido de oposição, de acordo com esta Política, documentaremos e comunicaremos a decisão ao solicitante.
  3. 3. Responderemos rapidamente e escalaremos todas as questões, queixas, preocupações sobre privacidade e qualquer Incidente de Privacidade ou Incidente de Segurança.
    1. Qualquer indivíduo sobre quem processemos Informação Pessoal, no âmbito desta Política, pode enviar uma questão, queixa ou preocupação para a nossa empresa a qualquer momento, incluindo um pedido de uma lista de todas as subsidiárias da nossa empresa que estejam sujeitas a esta Política. Esperamos que os nossos funcionários, e outros que trabalham em nome da nossa empresa, avisem imediatamente caso tenham motivo para acreditar que uma Lei aplicável possa impedir o cumprimento desta Política. Qualquer questão, queixa ou preocupação colocada por um Indivíduo, ou qualquer aviso providenciado por um funcionário, ou qualquer outra pessoa que trabalhe em nome da nossa empresa, deve ser enviada para o Gabinete de Privacidade Global da MSD:
      1. Por e-mail para: msd_privacy_office@msd.com
      2. Por correio para: Privacy Office, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, USA 19454.
    2. Os funcionários e contratantes têm de informar imediatamente o Gabinete de Privacidade Global da MSD, ou o Responsável pela Privacidade designado para a sua área de negócio, sobre quaisquer questões, queixas ou preocupações relacionadas com as práticas de privacidade da nossa empresa.
    3. O Gabinete de Privacidade Global da MSD irá avaliar e investigar, ou irá trabalhar com o Gabinete de Ética, Jurídico e/ou Conformidade para investigar todas as questões, queixas ou preocupações relacionadas com as práticas de privacidade da empresa, quer recebidas diretamente dos funcionários ou outros indivíduos ou através de terceiros, incluindo, mas não limitado a agências reguladoras, agentes de responsabilização ou outras autoridades governamentais. Responderemos ao indivíduo ou à entidade que colocou a questão, queixa ou preocupação à nossa empresa, no prazo de trinta (30) dias de calendário, exceto se a Lei ou o solicitante terceiro exigir uma resposta num período inferior, ou exceto se as circunstâncias, tal como uma investigação governamental, obriguem a um período mais alargado, em cujo caso o indivíduo ou o solicitante terceiro será notificado por escrito, assim que possível, sobre a natureza geral das circunstâncias que levem ao atraso.
    4. O Gabinete de Privacidade Global da MSD, em coordenação com o Gabinete Jurídico e de Conformidade, irá cooperar na resposta a qualquer questão, inspeção ou investigação de uma autoridade reguladora responsável por questões de privacidade.
    5. Para queixas que não possam ser resolvidas entre a nossa empresa e o indivíduo que as colocou, a nossa empresa concordou em participar nos seguintes procedimentos de resolução de disputas na investigação e resolução de queixas para resolver disputas de acordo com esta Política, contudo, a qualquer momento, os indivíduos residentes no EEE ou indivíduos cuja Informação Pessoal esteja sujeita à Lei de proteção de dados do EEE e seja transferida para o exterior do EEE, podem também basear-se na norma 3.f. abaixo:
      1. para disputas que envolvam toda a Informação Pessoal recebida pela nossa empresa a partir da Suíça, a nossa empresa concordou em cooperar com o “FDPIC Suíço”;
      2. para disputas que envolvam transferências de Informação Pessoal para os Estados Unidos, relacionada com atividades dos recursos humanos e recolhida no contexto de uma relação laboral no EEE, a nossa empresa compromete-se igualmente a colaborar com as autoridades competentes de proteção de dados na U.E;
      3. para disputas que envolvam a restante Informação Pessoal prevista na presente Política, incluindo mas não se limitando às disputas envolvendo a conformidade da nossa empresa com as Regras de Privacidade Transfronteiriças (RPT) da Cooperação Económica Ásia-Pacífico (“CEAP”), ou com Escudo de Proteção da Privacidade UE-EUA e EUA-Suíça, a nossa empresa concordou com a resolução de disputas pela TRUSTe, uma entidade mediadora de resolução de disputas estabelecida nos Estados Unidos. Os indivíduos que enviem uma questão à nossa empresa e que não recebam a devida confirmação, ou que pensem que a sua questão ou preocupação não foi respondida de forma satisfatória, devem contactar o Programa de Resolução de Disputas TRUSTe na Internet, por correio ou fax. As questões colocadas por correio ou fax devem identificar a Merck & Co., Inc. ou MSD como a empresa à qual a questão ou preocupação foi enviada, e incluir uma descrição da preocupação relativa à privacidade, o nome do indivíduo que envia a questão, e se a TRUSTe pode partilhar as informações da questão com a empresa. A TRUSTe irá atuar como ligação à nossa empresa para resolver as disputas.
        1. Online
        2. Fax: +1-415-520-3420
        3. Correio: Watchdog Complaints, TRUSTe, 835 Market Street, Suite 800, Box 137 San Francisco, CA, USA 94103-1905
      4. Para obter informação sobre a TRUSTe ou o funcionamento do processo de disputa da TRUSTe, visite a TRUSTe na Internet ou solicite esta informação à TRUSTe, por correio ou fax, usando a informação de contacto indicada acima. O processo de resolução de disputa da TRUSTe será realizado em inglês;
      5. Em relação a qualquer disputa decorrente do Escudo de Proteção da Privacidade da Suíça-EUA, que não seja resolvida pelos pontos enumerados nesta secção, os indivíduos têm a opção de invocar a arbitragem vinculativa, de acordo com os procedimentos das Autoridades de Proteção da Privacidade definidas no Escudo de Proteção da Privacidade da UE-EUA.
    6. Todos os indivíduos a residir no EEE, ou indivíduos cuja Informação Pessoal esteja sujeita à Lei de proteção de dados do EEE e seja transferida para fora do EEE, sobre quem a informação é processada de acordo com esta Política, têm o direito de acordo com esta Política, a qualquer momento, de aplicar os requisitos desta Política como beneficiários terceiros, incluindo o direito de interpor uma ação judicial para procurar compensações pela violação dos seus direitos de acordo com esta Política (conforme estabelecido na Secção 2 supra) e o direito de receber uma indemnização por prejuízos resultantes de tais violações. Os indivíduos que residam no EEE ou indivíduos cuja Informação Pessoal esteja sujeita à Lei de proteção de dados do EEE e seja transferida para fora do EEE (para efeitos de clareza, incluindo para os EUA), podem submeter uma ação ou apresentar uma reclamação ao abrigo da presente Política contra a Merck, Sharp & Dohme (Europe) Inc. – Filial da Bélgica (“MSD Europe”):
      1. Nos tribunais ou junto da autoridade de proteção de dados no país do EEE, a partir do qual a Informação Pessoal sobre si foi transferida,
      2. Nos tribunais ou junto da autoridade de proteção de dados do país do EEE da sua residência habitua, ou
      3. Nos tribunais da Bélgica ou junto da Comissão de Privacidade Belga.
    7. A nossa empresa irá responder ao indivíduo ou à entidade que colocou a questão, queixa ou preocupação à nossa empresa no prazo de trinta (30) dias corridos, exceto se uma Lei ou o solicitante terceiro requerer uma resposta num período mais curto de tempo, ou exceto se as circunstâncias necessitem de um período de tempo mais longo, em cujo caso, o indivíduo ou solicitante terceiro será notificado por escrito.
  4. 4. Somos responsáveis por manter os nossos padrões e valores de privacidade.
    1. A subsidiária da nossa empresa responsável por uma ação que origine um Incidente de Privacidade ou Incidente de Segurança substanciado é responsável, financeiramente, pela quantia de qualquer reivindicação por danos, multa ou penalização devido ao Incidente de Privacidade ou Incidente de Segurança.
      1. Em coordenação e sob indicação do Gabinete de Privacidade Global da MSD, a MSD Europe é responsável por garantir que são tomadas as ações necessárias para lidar com quaisquer alegadas violações desta Política por subsidiárias da nossa empresa fora do EEE, afetando indivíduos que residam no EEE ou indivíduos cuja Informação Pessoal esteja sujeita à Lei de proteção de dados do EEE e seja transferida para fora do EEE e, quando solicitado, pagar as multas, penalizações ou prejuízos devido a violações desta Política, afetando indivíduos que residam no EEE ou indivíduos cuja Informação Pessoal esteja sujeita às Leis de proteção de dados do EEE e seja transferida para fora do EEE. Com o apoio do Gabinete de Privacidade Global da MSD e da subsidiária da nossa empresa fora do EEE responsável pela alegada violação, a MSD Europe será responsável por demonstrar que a nossa empresa não é responsável pela alegada violação. Sempre que outra subsidiária da nossa empresa for responsável pela ação que levou à multa, penalização ou atribuição de prejuízos, tal subsidiária pode ter de reembolsar, imediatamente, a MSD Europe por quaisquer montantes pagos pela MSD Europe. Em caso de violação da presente Política por uma subsidiária da nossa empresa localizada fora do EEE, os tribunais ou as autoridades de proteção de dados do EEE têm jurisdição, dispondo o indivíduo afetado dos direitos e recursos contra a MSD Europe, estabelecidos na Secção 3.f supra.
      2. Em coordenação com e sob indicação do Gabinete de Privacidade Global da MSD, a Merck Sharp & Dohme Corp. é responsável por garantir que as ações necessárias são realizadas para lidar com quaisquer alegadas violações desta Política, afetando indivíduos que residam fora do EEE e, onde necessário, pagar as multas, penalizações ou prejuízos atribuídos por violações desta Política, afetando indivíduos que residam fora do EEE ou indivíduos cuja Informação Pessoal não esteja sujeita à Lei de proteção de dados do EEE. Sempre que outra subsidiária da nossa empresa for responsável pela ação que levou à multa, penalização ou atribuição de danos, tal subsidiária pode ter de reembolsar, imediatamente, a Merck Sharp & Dohme Corp. relativamente aos valores pagos pela Merck Sharp & Dohme Corp.

Supervisão e Monitorização

De modo a fornecer garantias aos reguladores e outras partes interessadas em como a nossa empresa é responsável pelo compromisso assumido de cumprimento de práticas de privacidade éticas e responsáveis, a empresa mantém um grupo de governação de supervisão e monitorização abrangente, dirigido por um Diretor de Privacidade com um Gabinete de Privacidade Global (GPO) especializado, um DPO (Data Protection Officer – Encarregado da Proteção de Dados para a UE, um DPO por País, quando exigido por lei ou pelas autoridades locais e Responsáveis de Privacidade dedicados, que são nomeados por Responsáveis Máximos e servem como ligação entre o Gabinete de Privacidade Global da MSD e as áreas organizacionais nas quais trabalham.

A nossa empresa irá apoiar-se em Agentes de Responsabilidade de Privacidade que são responsáveis, de acordo com as Leis, por verificar periodicamente a conformidade da empresa com os requisitos desta Política e as ditas Leis, incluindo RPT Regras de Privacidade Transfronteiriças da CEAP.

Além das análises das garantias sob a gestão do Gabinete de Privacidade Global da MSD, serão realizadas análises da conformidade por equipas de auditoria e garantia de fiabilidade internas e externas, de modo a verificar a adesão da MSD à presente Política, incluindo todas as políticas, procedimentos, normas e orientações subordinadas à presente Política. Serão desenvolvidos e aplicados planos de ação corretiva e preventiva com vista a colmatar lacunas observadas pelas equipas de auditoria e garantia de fiabilidade. Os resultados do Programa de Auditoria serão comunicados ao Diretor de Privacidade e à Comissão de Proteção de Dados, responsáveis por transmitir os resultados conforme descrito na presente Política.

As Autoridades de Proteção de Dados e Privacidade que aprovaram esta política ou que têm jurisdição sobre as práticas da nossa empresa, de acordo com esta Política, têm o direito de verificar a nossa conformidade com a mesma. Cumpriremos a informação destas autoridades competentes relativamente à interpretação e aplicação desta Política.

Termos que precisa de saber

  • A nossa empresa. A Merck & Co., Inc. (Kenilworth, NJ, EUA), seus sucessores, subsidiárias e divisões globais, excluindo joint-ventures de que a nossa empresa faça parte.
  • Anonimização. A alteração, trancagem obliteração ou outra redação ou modificação da Informação Pessoal, de modo a impossibilitar, de forma irreversível, a sua utilização para identificar, localizar ou contactar um indivíduo, quer isoladamente ou em conjunto com outra informação
  • Incidente de privacidade. Uma violação ou incumprimento desta Política, ou de uma Lei da privacidade ouproteção de dados, e inclui um Incidente de Segurança. A determinação da ocorrência de um incidente de privacidade, e se é material, deve ser realizada pelo Gabinete de Privacidade Global da MSD, pela área de Gestão de Riscos e Segurança da Informação (Information Technology Risk Management and Security, ITRMS) e pelo Gabinete do Diretor Jurídico.
  • Incidente de segurança. Uma quebra da segurança que conduz à destruição, perda e alteração acidentais ou ilícitas, e à divulgação ou o acesso não autorizados a Informação Pessoal, ou que leva a nossa empresa a razoavelmente acreditar na sua ocorrência. O acesso à Informação Pessoal por ou em nome da nossa empresa, sem a intenção de violar esta Política, não constitui um Incidente de Segurança, desde que a Informação Pessoal acedida seja ainda usada e divulgada apenas como permitido por esta Política.
  • Informação Pessoal. Quaisquer dados relacionados com um indivíduo identificado ou identificável, incluindo dados que identifiquem um indivíduo ou que possam ser usados para identificar, localizar, monitorizar ou contactar um indivíduo. A Informação Pessoal inclui informação diretamente identificável, tal como nome, número de identificação ou cargo único, e informação indiretamente identificável, tal como data de nascimento, número de telemóvel único ou identificador de dispositivo utilizado, número de telefone, bem como dados codificados com chave e identificadores online, tal como endereços IP.
  • Informação Sensível. Qualquer tipo de informação sobre as pessoas que aporta um risco inerente de potencial dano a indivíduos, incluindo informação definida por lei como sensível, incluindo, mas não limitada à informação relacionada com a saúde, genética, biometria, raça, etnicidade, religião, opiniões políticas, filosóficas ou crenças, registo criminal, informação de geolocalização precisa, números de contas bancárias ou outras contas financeiras, números de identificação emitidos pelo governo, crianças menores, vida sexual, orientação sexual, afiliação em sindicato, seguros, segurança social e outros benefícios do empregador ou emitidos pelo governo.
  • Lei. Todas as leis, regras, regulamentos e ordens de opinião aplicáveis com força de lei em qualquer país no qual a nossa empresa opera ou no qual a Informação Pessoal é processada por ou em nome da nossa empresa. Isto inclui todos os acordos-quadro de acordo com os quais a nossa empresa foi aprovada ou certificada, incluindo as Regras de Privacidade Transfronteiriça (“RPT”) da Cooperação Económica Ásia-Pacífico (“CEAP”), o Escudo de Proteção da Privacidade da UE–EUA e Suíça-EUA – ao abrigo dos poderes de investigação e aplicação da legislação da U.S. Federal Trade Commission (Comissão Comercial Federal dos Estados Unidos).
  • Terceiro. Qualquer entidade legal, associação ou pessoa que não seja detida pela nossa empresa ou na qual a nossa empresa não tenha participação de controlo, ou que não seja contratada pela nossa empresa. Exceto como expressamente definido nesta Política, nenhuma subsidiária ou divisão da nossa empresa terá de cumprir os requisitos de um terceiro de acordo com esta política, uma vez que é requerido a todas as subsidiárias ou divisões que processem informação sobre pessoas de acordo com esta Política, incluindo em circunstâncias onde uma das subsidiárias da nossa empresa apoia uma ou mais subsidiárias da nossa empresa relativamente ao tratamento.
  • Tratamento. Realizar qualquer operação ou conjunto de operações sobre informação de pessoas, quer sejam ou não por meios automáticos, incluindo, mas não limitando à recolha, gravação, organização, armazenamento, acesso, adaptação, alterações, recuperação, consulta, utilização, avaliação, análise, comunicação, partilha, divulgação, disseminação, transmissão, disponibilização, alinhamento, combinação, bloqueio, eliminação, retificação ou destruição.

Alterações a esta Política

Esta política pode ser alterada ocasionalmente, de acordo com os requisitos da Lei aplicável. Será publicado, durante 60 dias, um aviso na página sobre privacidade da nossa empresa (www.msdprivacy.com) sempre que esta Política seja alterada.

Data de Entrada em Vigor

30 de abril de 2018

TRUSTeTRUSTeThis Web Accessibility icon serves as a link to download eSSENTIAL Accessibility assistive technology software for individuals with physical disabilities. It is being featured as part of a Disability Community Involvement initiative that reflects our commitment to Diversity, Inclusion,Corporate Citizenship and Social Responsibility.
Twitter IconLinkedin Icon

Copyright © 2009-2018 Merck Sharp & Dohme Corp., uma subsidiária da Merck & Co., Inc. Kenilworth, NJ, USA. Todos os direitos reservados. Este website é mantido pela Merck Sharp & Dohme Corp., uma subsidiária da Merck & Co., Inc., Kenilworth, NJ, USA.