Procedura sulle regole globali in materia di privacy transfrontaliera

Data di revisione: 1 Maggio 2022
Data di entrata in vigore: 1 Maggio 2022

Ci sforziamo di condurre la nostra attività secondo i nostri valori di privacy in quanto riteniamo che essi dimostrino il nostro fermo impegno nei confronti di pratiche etiche e responsabili. Riconosciamo che l’innovazione e le nuove tecnologie determinano un cambiamento continuo dei rischi, delle aspettative e delle leggi. Per questo motivo, abbiamo adottato standard di responsabilità nella privacy e miriamo a un adattamento rapido della loro modalità di applicazione in risposta a tale cambiamento.

La presente Procedura definisce i nostri standard globali per la gestione e la protezione delle informazioni personali da parte o per conto della nostra azienda, indipendentemente dal paese da cui proviene o verso il quale le informazioni personali possono essere trasferite. La Procedura descrive i nostri impegni chiave, tesi a convalidare la conformità alla nostra certificazione APEC sulle regole in materia di privacy transfrontaliera, alle nostre norme vincolanti d’impresa (Binding Corporate Rules, “BCR”), che sono state approvate dall’Unione Europea, e alla nostra autocertificazione sullo Scudo UE-USA per la privacy e lo Scudo Svizzera-USA per la privacy. Si applica a tutte le nostre attività e operazioni in ogni Paese, che comportino informazioni sulle persone e che vengano svolte in tutte le sussidiarie e divisioni, incluse, tra le altre, le nostre attività di ricerca, produzione, Informazione scientifica e vendita, supporto aziendale, e il trasferimento dei dati, necessari per l’esecuzione di tali attività, con l’inclusione delle seguenti:

• Ricerca e produzione: valutazione di esigenze e opportunità di innovazione medica e sanitaria; avvio, gestione e finanziamento di studi di ricerca; valutazione e coinvolgimento di ricercatori, membri del comitato scientifico ed etico e partner aziendali a supporto degli studi di ricerca e dello sviluppo dei prodotti; reclutamento per gli studi di ricerca; valutazione della sicurezza, dell’efficacia e della qualità dei nostri prodotti sperimentali e commercializzati; soddisfazione degli obblighi in materia di sicurezza e qualità dei prodotti, inclusa la gestione e la segnalazione di eventi avversi e i reclami sulla qualità dei prodotti; richiesta di approvazione e registrazione dei prodotti presso le autorità normative; conformità con i requisiti legali, normativi o etici associati;
• Informazione scientifica e vendita: valutazione dei mercati per i nostri prodotti; pubblicità, marketing, vendita, distribuzione e fornitura dei prodotti; comunicazione e coinvolgimento dei clienti professionisti in ambito dell’assistenza sanitaria, organismi pagatori del settore sanitario, pazienti e altri utenti finali dei nostri prodotti, oltre a chi si occupa di coloro che usano i nostri prodotti; sponsorizzazione e conduzione di eventi; valutazione e coinvolgimento dei partner aziendali a supporto delle attività commerciali; conformità con i requisiti legali, normativi o etici di riferimento;
• Supporto aziendale :reclutamento, assunzione, gestione, sviluppo, comunicazioni e retribuzione dei dipendenti; amministrazione dei benefit per dipendenti e relativi collaboratori; conduzione di revisioni della performance e talent review; somministrazione della formazione e di altri programmi di apprendimento e sviluppo; conduzione di procedimenti disciplinari e di vertenze; gestione di problemi di natura etica e di privacy e conduzione di indagini; gestione e protezione delle nostre risorse e infrastrutture fisiche e virtuali; approvvigionamento e pagamento di beni e servizi; adempimento degli obblighi di natura ambientale, sanitaria e di sicurezza e di altri obblighi legati alla responsabilità aziendale; rapporti con i media; conformità con i requisiti legali, normativi o etici associati.

Questa Procedura si applica anche a tutte le persone di cui elaboriamo le informazioni, inclusi, tra gli altri, i nostri professionisti del settore sanitario e altri clienti; dipendenti potenziali, attuali e precedenti e i loro collaboratori, pazienti, chi si occupa di questi ultimi, ricercatori e partecipanti agli studi di ricerca, membri del comitato scientifico ed etico, partner aziendali, investitori e azionisti, funzionari pubblici e altri interlocutori.

Tutti i dipendenti dell’azienda e i dirigenti senior hanno responsabilità fondamentali da perseguire.

Riconosciamo che errori e valutazioni errate in materia di protezione delle informazioni sulle persone possono creare rischi per la privacy degli individui e rischi operativi, finanziari, per la reputazione e la conformità della nostra azienda. Forniremo la formazione necessaria sulla presente Politica a tutti i dipendenti e altro personale che hanno accesso, in forma regolare o continuativa, alle Informazioni personali interessate dal trattamento di dati o dalle attività di sviluppo degli strumenti utilizzati per trattare le Informazioni personali. Ogni dipendente della nostra azienda, e tutti coloro che elaborano informazioni per conto di essa, è responsabile della comprensione e del rispetto dei propri obblighi secondo quanto stabilito dalla presente Politica e dalle leggi applicabili

I nostri valori e i nostri standard in materia di privacy

Rispettiamo i nostri valori in materia di privacy in tutte le nostre attività e operazioni che riguardano le persone. I nostri quattro valori per la privacy sono i seguenti:

Rispetto	Fiducia	Prevenzione dei danni	Conformità
Riconosciamo che le preoccupazioni sulla privacy spesso riguardano la nostra stessa essenza, la nostra visione del mondo e la definizione di noi stessi, quindi ci impegniamo a rispettare i punti di vista e gli interessi di individui e comunità e ad essere equi e trasparenti nell’utilizzo e nella condivisione delle loro informazioni.	Sappiamo che la fiducia è di importanza cruciale per il nostro successo, quindi ci impegniamo a costruire e preservare la fiducia di clienti, dipendenti, pazienti e altri interlocutori nel modo in cui rispettiamo la privacy e proteggiamo le informazioni personali.	Comprendiamo che l’uso errato delle informazioni personali può creare danni materiali e immateriali agli individui, quindi cerchiamo di prevenire danni fisici, finanziari e di reputazione, oltre a danni di altro tipo, alla privacy dei singoli.	Abbiamo imparato che le leggi e i regolamenti non possono sempre stare al passo con i cambiamenti rapidi delle tecnologie e dei flussi di dati e con i mutamenti nei rischi e nelle aspettative per la privacy, quindi ci impegniamo a conformarci allo spirito e alla lettera delle leggi e dei regolamenti in materia di privacy e protezione dei dati, in maniera tale da garantire coerenza ed efficienza nelle nostre operazioni a livello globale.

1. Incorporiamo i nostri standard di privacy in ogni attività, processo, tecnologia e relazione con terze parti che usano le informazioni personali. . Integriamo nei nostri processi e nelle nostre tecnologie controlli della privacy coerenti con i nostri valori e standard e con la legge applicabile. Gli 8 principi sulla privacy enunciati di seguito riepilogano i nostri standard e requisiti chiave di privacy per i processi, le attività e le tecnologie che li supportano.

   Principio sulla privacy	I nostri impegni chiave
   1. Necessità: prima di raccogliere, usare o condividere le informazioni personali, definiamo e documentiamo i fini aziendali specifici e legittimi che ne giustificano la necessità.	Determiniamo e documentiamo la durata per cui le informazioni personali sono necessarie per tali fini aziendali e gli obblighi legali di pertinenza. Non raccogliamo, usiamo o condividiamo una quantità di informazioni personali superiore a quanto necessario né le conserviamo in una forma identificabile per un periodo di tempo superiore a quello necessario per i fini aziendali definiti e relativi obblighi legali. Rendiamo anonimi i dati laddove le esigenze aziendali richiedano che le informazioni sull’attività o il processo siano conservate per un periodo di tempo più lungo. Verifichiamo che i requisiti di necessità siano integrati in tutte le tecnologie di supporto e che siano comunicati alle terze parti che sostengono l’attività o il processo.
   2. Correttezza: non elaboriamo le informazioni personali in modo scorretto nei confronti delle persone a cui i dati sono correlati.	Determiniamo se la raccolta, l’uso o un altro tipo di elaborazione proposto delle informazioni personali presenti un potenziale e/o grave rischio di danno tangibile o intangibile per gli individui, in conformità con il nostro Valore privacy di Prevenzione dei danni. Se la natura dei dati, i tipi di soggetti o l’attività presentano un rischio potenziale e/o grave di danno tangibile o intangibile per gli individui, verifichiamo che il rischio di danno sia superato da un corrispondente beneficio per tali individui o per la nostra mission di salvare e migliorare le vite e sia mitigato dai meccanismi e dalle misure di tutela adottate da MSD. Laddove il rischio paia superare i benefici per gli individui, applichiamo le misure di sicurezza e protezione più rilevanti, informiamo gli individui di questo fatto e cerchiamo il parere dell’autorità di regolamentazione competente quando possibile. Elaboriamo le informazioni sensibili solo con il consenso esplicito degli individui, se richiesto o consentito espressamente dalla legge applicabile. Laddove il rischio sembra superare i benefici per gli individui, noi documentiamo l’analisi dei rischi e sviluppiamo eventuali meccanismi atti a minimizzare i rischi il più possibile.
   3. Trasparenza: non elaboriamo le informazioni personali secondo modalità o fini non trasparenti.	Tutti gli individui le cui informazioni personali vengono elaborate secondo la presente Procedura hanno diritto a una copia della stessa. Renderemo disponibili online copie della presente Procedura all’indirizzo https://www.msdprivacy.com/index.html. L’ufficio per la privacy corporate di MSD fornirà su richiesta copie in formato elettronico e/o cartacee di questa Procedura agli indirizzi elencati in basso. Quando i dati personali vengono raccolti direttamente dagli individui, prima di raccogliere tali informazioni forniamo un’informativa sulla privacy chiara, trasparente in merito a: (1) l’entità o le entità dell’azienda responsabili del trattamento, (2) i dettagli di contatto del responsabile della privacy (Chief Privacy Officer, CPO) e/o del responsabile della privacy dei dati locale/regionale, (3) le informazioni che verranno raccolte, (4) le finalità per cui verranno utilizzate, (5) la base giuridica per il trattamento (6) con chi verranno condivise, incluso qualsivoglia requisito richiesto per la divulgazione delle Informazioni personali in risposta a legittime richieste delle autorità governative, (7) se e in quale modalità le Informazioni personali verranno trasferite ad altri Paesi ivi inclusi quelli rilevanti, laddove sia fattibile, (8) per quanto tempo tali informazioni saranno conservate o i criteri in base ai quali stabiliremo la durata del periodo di conservazione, (9) come possono porre domande, sollevare dubbi o esercitare i loro diritti in relazione alle loro Informazioni personali, (10) come possono annullare il consenso conferito in precedenza, (11) il loro diritto a presentare un reclamo presso l’autorità di controllo competente, (12) qualsiasi obbligo che impone di fornire le Informazioni personali e le conseguenze derivanti dalla mancata adempienza a tale obbligo, (13) qualsiasi processo decisionale automatizzato adottato, inclusa la profilazione, e (14) un link alla presente Procedura, dove possibile e nei casi appropriati. Le modalità con cui operiamo sulla privacy per molti dei nostri interlocutori sono disponibili online all’indirizzohttp://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.html Quando le Informazioni personali vengono ottenute tramite osservazioni, sensori o altri mezzi indiretti, può non essere possibile fornire un’informativa sulla privacy direttamente all’individuo al momento della raccolta. In tali casi, garantiamo trasparenza tramite altri mezzi, ad esempio la pubblicazione o la stampa sul dispositivo o materiali associati al dispositivo su cui verranno trattati i dati. Quando le informazioni personali vengono raccolte tramite un sito Web, un’app per dispositivi mobili o un’altra applicazione o risorsa online, applichiamo gli standard tecnologici specifici descritti nella nostra Procedura sulla privacy su Internet e nel nostro Politica globale sul tracciamento online per garantire che siano soddisfatti i requisiti in materia di trasparenza sanciti nella presente Procedura. Quando le informazioni personali vengono raccolte da altre fonti non gestite specificamente dalla nostra azienda, , prima di ottenere le informazioni verifichiamo per iscritto che il fornitore abbia informato gli individui sui metodi e i fini per cui l’azienda intende usare le informazioni. Se non è possibile ottenere una verifica scritta dal fornitore delle informazioni, usiamo solo informazioni anonimizzate oppure, prima di utilizzare le informazioni personali, informiamo gli individui interessati tramite un’informativa sulla privacy o mezzi simili indicando (1) l’entità o le entità dell’azienda responsabili dell’elaborazione delle informazioni, (2) i dettagli di contatto del responsabile della privacy e/o del responsabile della protezione dei dati locale/regionale, (3) di quali informazioni è previsto l’utilizzo, (4) i fini per cui l’azienda prevede di utilizzarle, (5) la base giuridica per il trattamento (6) con chi l’azienda le condividerà, (7) se e in quale modalità le Informazioni personali verranno trasferite dall’azienda ad altri paesi ivi inclusi quelli rilevanti, laddove sia fattibile, (8) per quanto tempo l’azienda prevede di conservare tali informazioni o i criteri in base ai quali stabiliremo la durata del periodo di conservazione, (9) come possono porre domande, sollevare dubbi o esercitare i loro diritti in relazione alle loro Informazioni personali, (10) come possono annullare il consenso conferito in precedenza, (11) il loro diritto a presentare un reclamo presso l’autorità di controllo competente, (12) qualsiasi obbligo che impone di fornire le Informazioni personali e le conseguenze derivanti dalla mancata adempienza a tale obbligo, (13) qualsiasi processo decisionale automatizzato adottato, inclusa la profilazione, e (14) un link alla presente Procedura, dove possibile e nei casi appropriati. Garantiamo che i necessari meccanismi di trasparenza, inclusi, laddove possibile, meccanismi a supporto delle richieste di diritti individuali, siano integrati nelle tecnologie di supporto, e che le terze parti che supportano l’attività o il processo non elaborino informazioni personali in maniera non conforme a quanto comunicato mediante informativa sulla privacy o altro mezzo verificabile sull’utilizzo delle informazioni da parte nostra o di soggetti che operano per nostro conto. Quando chiediamo il consenso, otteniamo e documentiamo la prova del consenso nelle nostre tecnologie di supporto.
   4. Limitazione dei fini: usiamo le informazioni personali solo in conformità con i principi di necessità e trasparenza.	Nel caso in cui vengano individuati nuovi e legittimi fini aziendali per le informazioni personali raccolte in precedenza, otteniamo il consenso dell’individuo per il nuovo impiego delle sue Informazioni personali o ci assicuriamo che il nuovo fine aziendale sia compatibile con, e materialmente simile ai fini descritti in un’informativa sulla privacy o nella comunicazione fornita precedentemente all’individuo. La compatibilità dovrà tener conto tra l’altro di (1) ogni nesso tra tali finalità e le finalità dell’ulteriore trattamento previsto, (2) delle ragionevoli aspettative dell’interessato, (3) della natura delle Informazioni personali, (4) delle conseguenze dell’ulteriore trattamento previsto per gli interessati, e (5) dell’esistenza di garanzie adeguate adottate. Non applichiamo questo principio alle informazioni anonimizzate o nei casi in cui usiamo le informazioni personali esclusivamente a fini di ricerca storica e scientifica e (1) un comitato di revisione etica, o altro revisore competente, abbia determinato che il rischio di tale impiego per la privacy e altri diritti individuali sia accettabile, (2) siano state adottate tutele adeguate per garantire il principio di minimizzazione dei dati, (3) i dati personali siano oggetto di pseudoanimizzazione, e (4) siano rispettate tutte le altre leggi applicabili. Le restrizioni dovute alla limitazione dei fini sono integrate in qualunque tecnologia di supporto, incluse le capacità di reporting e la condivisione dei dati downstream.
   5. Qualità dei dati: preserviamo l’accuratezza, la completezza e l’aggiornamento delle informazioni personali conformemente con l’uso previsto.	Verifichiamo che meccanismi di revisione periodica dei dati siano integrati nelle tecnologie di supporto per convalidare l’accuratezza dei dati rispetto ai sistemi di origine e downstream. Verifichiamo che sia convalidata l’accuratezza e l’attualità delle informazioni sensibili prima del loro uso, della valutazione, dell’analisi, del reporting o di altre elaborazioni che presentino un rischio di mancata correttezza per le persone nel caso in cui vengano usati dati inaccurati o obsoleti. Laddove vengano apportate modifiche alle informazioni personali da parte della nostra azienda o da terze parti che operano per conto della nostra azienda, verifichiamo che tali modifiche siano comunicate agli individui interessati in maniera tempestiva.
   6. Sicurezza: poniamo in essere difese per proteggere le informazioni personali e le informazioni sensibili da perdita, uso improprio e accesso non autorizzato, divulgazione, alterazione e distruzione.	Abbiamo implementato un programma di sicurezza delle informazioni e applichiamo controlli di sicurezza basati sulla sensibilità delle informazioni e sul livello di rischio dell’attività, prendendo in considerazione le best practice tecnologiche disponibili. Le nostre politiche di sicurezza a livello di funzione includono, tra gli altri, standard di business continuity e disaster recovery, crittografia, gestione delle identità e dell’accesso, classificazione delle informazioni, gestione degli incidenti relativi alla sicurezza delle informazioni, controllo dell’accesso alla rete, sicurezza fisica e gestione dei rischi.
   7. Trasferimento dati: Siamo responsabili e preserviamo la privacy delle informazioni personali quando queste vengono trasferite a o da altre organizzazioni o tra Paesi diversi.	(1) Trasferiamo le Informazioni personali all’interno del Gruppo a cui appartiene l’azienda, previo soddisfacimento dei criteri seguenti: (1) se la condivisione delle Informazioni personali è necessaria a conseguire le finalità per le quali sono state originariamente raccolte o a conseguire un altro legittimo interesse aziendale, e (2) se la finalità su cui poggia la condivisione e in base alla quale verrà effettuata è coerente con l’informativa sulla privacy o con altri meccanismi di trasparenza forniti in precedenza all’individuo al momento della raccolta delle sue Informazioni personali e in favore delle quali l’individuo aveva conferito il proprio consenso, laddove necessario, (3) laddove una sussidiaria della nostra azienda agisca da sola per conto di un’altra sussidiaria nel trattamento delle Informazioni personali, (4) laddove, subordinatamente a un obbligo di legge, sia stato sottoscritto un accordo interno sul trattamento di dati conformemente al Principio 8 della presente Procedura. (5) quando l’infrastruttura informatica richiede tale trasferimento, a condizione che tutte le misure di sicurezza e organizzative appropriate siano in atto per rendere tale trasferimento conforme. (2) Il trasferimento delle informazioni personali a terze parti o tramite terze parti avviene solo nel caso in cui vengano soddisfatti i seguenti requisiti e ci assumiamo la responsabilità di far rispettare tali requisiti dalle terze parti da noi ingaggiate: Se il ruolo della terza parte è elaborare le informazioni personali per o per conto della nostra azienda,, prima di fornire le informazioni personali alla terza parte o di coinvolgerla: (1) completiamo la procedura di due diligence di privacy per valutare le pratiche di privacy e i rischi associati alle terze parti, (2) sottoscriviamo con le terze parti specifiche clausole contrattuali per cui esse che elaboreranno le informazioni personali attenendosi esclusivamente alle istruzioni della nostra azienda e in conformità con la presente Procedura, inclusi senza limitazioni tutti gli 8 principi di privacy e gli altri standard definiti in questa Procedura e nelle leggi applicabili, che notificheranno immediatamente alla nostra azienda eventuali incidenti relativi alla privacy, inclusa qualsiasi incapacità nel conformarsi agli standard esposti in questa Procedura e alle leggi applicabili, o alla sicurezza, e coopereranno per rimediare prontamente a eventuali incidenti comprovati e per rispettare i diritti dei singoli esposti nella Sezione 2 più avanti, che non collaboreranno con un’altra azienda per trattare le Informazioni personali senza la nostra autorizzazione scritta e senza sottoscrivere un accordo che preveda gli stessi obblighi in materia di protezione dei dati, che cancelleranno o restituiranno alla nostra azienda tutte le Informazioni personali dopo aver evaso tutti i servizi a noi erogati o su nostra richiesta e che consentiranno alla nostra azienda di controllare e monitorare le loro pratiche per la durata dell’elaborazione, al fine di verificarne la conformità con tali requisiti. Inoltre, se la terza parte elabora informazioni personali originate in un Paese o territorio le cui leggi limitano il trasferimento delle Informazioni personali, verificheremo che il trasferimento alla terza parte soddisfi i requisiti relativi al trasferimento transfrontaliero dei dati descritti al punto (3) in basso. Se il ruolo della terza parte è fornire informazioni personali alla nostra azienda,prima di ottenere le informazioni personali dalla terza parte verifichiamo che siano soddisfatti i requisiti di trasparenza nella raccolta di tali informazioni da altre fonti non gestite specificamente dalla nostra azienda e otteniamo dalla terza parte una dichiarazione contrattuale di non violazione di leggi o diritti di terze parti fornendo informazioni personali alla nostra azienda. Se il ruolo della terza parte è ricevere dalla nostra azienda informazioni per l’elaborazione , prima di fornire tali informazioni alla terza parte verifichiamo che le informazioni siano state anonimizzate, e che siano state ottenute assicurazioni scritte dalla terza parte che esse verranno impiegate solo per i fini aziendali definiti nel contratto e in conformità con le leggi applicabili e non verranno effettuati tentativi di identificazione delle informazioni. Se il trasferimento a una terza parte è subordinato a un obbligo di legge o necessario a tutelare gli interessi legittimi dell’individuo o dell’azienda, possiamo trasferire le informazioni: (1) ai fini di prevenzione delle frodi o di esercitare o tutelare i diritti e i beni dell’azienda, (2) ai fini della tutela personale della sicurezza dei nostri dipendenti o terze parti in relazione ai nostri beni o (3) allo scopo di proteggere le nostre attività adottando provvedimenti di sicurezza correttivi in caso abbiamo basi ragionevoli per presumere che si sia verificata un’attività illecita o una condotta impropria grave. Se la terza parte è obiettivo di un’acquisizione o di controllo da parte della nostra azienda, (1) prima di stipulare un accordo di acquisizione o di controllo della terza parte, completiamo la procedura di due diligence di privacy per valutare le pratiche di privacy e i rischi associati all’acquisizione o al controllo della terza parte, e (2) stipuliamo un accordo per il trasferimento dati che specifichi i termini e condizioni in base ai quali le informazioni personali possono essere divulgate e i rispettivi obblighi della nostra azienda e della terza parte. Se il ruolo della terza parte è acquisire in tutto o in parte l’attività della nostra azienda, prima di condividere informazioni personali in connessione con l’alienazione di una parte dell’attività dell’azienda, (1) stipuliamo un contratto di trasferimento dati che specifichi i termini e condizioni in base ai quali le informazioni personali possono essere divulgate all’acquirente, incluse le adeguate limitazioni riguardanti gli usi consentiti delle informazioni personali e la conformità allo standard esposto in questa Procedura e nella legge applicabile, (2) esaminiamo tutti i dati personali prima di condividerli, per valutare i requisiti di condivisione, (3) otteniamo il consenso alla condivisione di informazioni personali o informazioni sensibili in conformità con i principi di trasparenza e limitazione dei fini della presente Procedura e (4) richiediamo alle terze parti di comunicare prontamente alla nostra azienda eventuali incidenti di privacy, inclusa qualsiasi incapacità nel conformarsi agli standard esposti nella presente Procedura e nelle leggi applicabili, e di cooperare per rimediare prontamente a eventuali incidenti comprovati o di terminare il trattamento delle informazioni personali in questione. (3) Il trasferimento delle informazioni personali tra Paesi, inclusi gli Stati Uniti, e da o per conto della nostra azienda avviene in conformità con la presente Procedura. Applicheremo la stessa ai trasferimenti di informazioni personali da un altro Paese o territorio che abbia in vigore una legge che limita il trasferimento di informazioni personali oltre ad adempiere ad obblighi imposti da tali leggi (inclusa l’adozione di meccanismi necessari per i trasferimenti transfrontalieri) a Paesi che non hanno gli stessi standard di protezione dei dati del Paese d’origine).
   8. Consentito dalla legge: elaboriamo le informazioni personali solo se i requisiti delle leggi applicabili sono soddisfatti.	Mentre gli altri 7 principi di privacy, così come i requisiti dei diritti individuali descritti di seguito, servono a garantire che siano soddisfatti i requisiti della maggior parte delle leggi sulla privacy e la protezione dei dati che si applicano alla nostra attività a livello mondiale, in alcuni Paesi dobbiamo soddisfare ulteriori requisiti, tra cui i seguenti: 1) Laddove richiesto, otterremo forme specifiche di consenso per alcune elaborazioni di informazioni personali, tra cui l’approvazione dell’elaborazione da parte di consigli dei lavoratori e altre organizzazioni sindacali; 2) Laddove richiesto, registreremo l’elaborazione delle informazioni personali presso l’autorità Garante Privacy; 3) Laddove richiesto, forniremo diritti di accesso e correzione più ampi di quanto descritto nella presente Procedura; 4) Laddove richiesto, limiteremo ulteriormente i periodi di conservazione dei dati per le informazioni personali; 5) Laddove richiesto, stipuleremo contratti contenenti clausole specifiche, inclusi i contratti per il trasferimento dei dati transfrontalieri a terze parti. 6) Laddove richiesto, divulgheremo le informazioni personali in risposta a richieste legali da parte delle autorità pubbliche, incluso il soddisfacimento dei requisiti di sicurezza nazionale e di applicazione della legge. In caso di conflitto tra la presente Procedura e una legge applicabile, prevarrà lo standard che prevede una maggiore protezione degli individui.

2. 2. Risponderemo con sollecitudine alle richieste degli individui circa i loro diritti all’accesso, alla modifica, alla correzione o eliminazione delle Informazioni personali o di opposizione al trattamento delle Informazioni personali che li riguardano o di richiesta di esercitare i loro diritti in relazione alle loro Informazioni personali.
   1. Accesso, correzione, eliminazione e altri diritti: le leggi della maggior parte dei Paesi in cui operiamo prevedono per gli individui diritti di accesso alle informazioni personali che li riguardano e alla modifica, alla correzione o all’eliminazione delle informazioni personali imprecise, incomplete o obsolete. Daremo seguito a tutte le richieste di accesso, correzione ed eliminazione delle informazioni personali da tutti gli individui, in conformità con la Sezione 3a in basso. Se una richiesta di accesso, correzione o eliminazione è governata da una legge applicabile che fornisce maggiore protezione individuale, garantiremo che i requisiti aggiuntivi di tale legge siano soddisfatti.
      In alcuni Paesi, è possibile che gli individui dispongano di altri diritti in relazione alle Informazioni personali che li riguardano, tra cui il diritto a limitare il trattamento, a opporsi al trattamento (consultare la Sezione 2b riportata di seguito) e a richiedere il trasferimento dei loro dati a un altro fornitore di servizi. Rispetteremo i diritti relativi ai dati conformemente alle leggi applicabili. Alcuni diritti, come la cancellazione, possono essere limitati in base ad altri requisiti normativi o alla necessità di conformarsi agli obblighi locali di rendicontazione sulla compliance, in tal caso vi informeremo su queste limitazioni come applicabile.
   2. Scelta: conformemente con i valori di privacy “Rispetto” e “Fiducia”, diamo seguito alle richieste degli individui di negare il consenso all’elaborazione delle informazioni personali, come la rinuncia a programmi e attività a cui avevano in precedenza accettato di partecipare, l’elaborazione delle informazioni personali che li riguardano per comunicazioni di marketing dirette, comunicazioni mirate basate sulle informazioni personali e qualunque valutazione o decisione che li riguardi e che possa avere effetti significativi su di loro, eseguita con l’uso di processi automatizati o algoritmi.
      1. Salvo i casi previsti dalla legge, possiamo negare la scelta, laddove una scelta particolare possa costituire un impedimento per la nostra azienda nella sua capacità di: (1) conformarsi a una legge o un obbligo etico anche nel caso in cui siamo tenuti a divulgare Informazioni personali in risposta a richieste legali da parte delle autorità pubbliche, incluso il soddisfacimento dei requisiti di sicurezza nazionale e di applicazione della legge, (2) investigare su esercitare o difendere azioni legali e (3) stipulare contratti, amministrare relazioni o impegnarsi in altre attività aziendali consentite dai principi di trasparenza e limitazione dei fini e che siano state avviate in relazione alle informazioni personali in questione. Entro quindici giorni lavorativi da ogni decisione di negare una richiesta di scelta in conformità con la presente Procedura, documenteremo e comunicheremo la decisione al richiedente.
3. 3. Replicheremo con sollecitudine e inoltreremo agli uffici preposti tutte le domande collegate alla privacy, i reclami, i dubbi e i possibili incidenti di privacy o sicurezza.
   1. Tutti gli individui per i quali elaboriamo le informazioni personali nell’ambito della presente Procedura possono inoltrare una domanda, un reclamo o un dubbio alla nostra azienda in qualunque momento, incluse le richieste di elenchi di tutte le sussidiarie della nostra azienda soggette alla presente Procedura. Ci aspettiamo che tutti i dipendenti e coloro che operano per conto della nostra azienda forniscano notifiche tempestive laddove abbiano motivo di pensare che una legge applicabile possa impedire loro di conformarsi con la presente Politica. Tutte le domande, i reclami o i dubbi di un individuo, o qualunque notifica fornita da un dipendente o da qualunque altra persona che operi per conto della nostra azienda, devono essere dirette all’ufficio per la privacy globale di MSD:
      1. Tramite e-mail per gli individui residenti nello Spazio economico europeo (SEE) a: euprivacydpo@msd.com
      2. Altrimenti tramite e-mail a: msd_privacy_office@msd.com
      3. Tramite posta ordinaria all’indirizzo: Privacy Office, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, USA 19454.
   2. Dipendenti e consulenti sono tenuti a informare tempestivamente l’ufficio per la privacy corporate o il responsabile per la privacy incaricato per la propria area commerciale di eventuali domande, reclami o dubbi legati alle procedure della nostra azienda in materia di privacy.
   3. L’ufficio per la privacy corporate effettuerà esami e indagini o collaborerà con l’ufficio per l’etica, legale e/o della compliance, per approfondire tutte le questioni, i reclami e i dubbi collegati alle procedure della nostra azienda in materia di privacy, ricevute direttamente dai dipendenti o da altri individui o tramite terze parti, tra cui le agenzie normative, e altre autorità statali. Risponderemo al singolo o all’entità che ha sollevato la domanda o il dubbio alla nostra azienda entro trenta (30) giorni, a meno che una legge o una terza parte non richieda una risposta in un periodo di tempo più breve o che le circostanze, ad esempio un’indagine concomitante, comportino un periodo di tempo più lungo. In questo caso, il richiedente singolo o la terza parte riceverà appena possibile una notifica in forma scritta con l’indicazione della natura generale delle circostanze che contribuiscono al ritardo.
   4. L’ufficio per la privacy corporate di MSD, coordinandosi con l’ufficio legale e quello della compliance, collaborerà per rispondere a qualunque inchiesta, ispezione o indagine da parte di un’autorità normativa in materia di privacy.
   5. Per i reclami che non possono essere risolti tra la nostra azienda e l’individuo che ha sollevato il reclamo, l’azienda ha accettato di partecipare alle seguenti procedure di indagine e risoluzione dei reclami per risolvere le dispute in base alla presente Procedura; tuttavia, in qualunque momento, i residenti nell’area SEE o gli individui le cui informazioni personali sono soggette alla legge sulla protezione dei dati dell’area SEE e trasferite al di fuori di tale area possono anche contare sullo standard 3.f. descritto di seguito:
      1. per le controversie riguardanti il trasferimento dei dati personali relativi alle attività delle risorse umane e raccolti in un contesto di rapporto lavorativo dall’EEA, e dal Regno Unito agli USA, la nostra azienda si impegna inoltre a cooperare con le autorità di protezione dei dati dell’UE (panel).
      2. per le controversie che riguardano il trasferimento di informazioni personali relative alle attività delle risorse umane nel contesto di un rapporto di lavoro dalla Svizzera agli Stati Uniti, la nostra azienda si impegna a collaborare con l’agenzia svizzera FDIPC.
      3. per le dispute che coinvolgono il trasferimento di informazioni personali in base alla conformità della nostra azienda con le Regole in materia di privacy transfrontaliera (Cross-Border Privacy Rules, “CBPR”) della Cooperazione Economica Asiatico-Pacifica (“APEC”), tra le Economie APEC, il trasferimento di informazioni personali relative ad attività di risorse non umane attraverso lo Scudo UE-USA e Svizzera-USA per la privacy la nostra azienda ha accettato di servirsi del programma di terze parti con sede negli USA, per la risoluzione delle controversie (gratuitamente) all’indirizzo https://feedback-form.truste.com/watchdog/request.
      4. Per qualsiasi controversia all’interno dello Scudo UE-USA e Svizzera-USA per la privacy che non viene risolta attraverso i punti descritti in questa sezione, le persone hanno a disposizione l’opzione di far ricorso al collegio arbitrale Scudo UE-USA e Svizzera-USA per la privacy.
   6. Tutti i residenti nell’area SEE, o gli individui le cui informazioni personali sono soggette alla legge sulla protezione dei dati dell’area SEE e trasferite al di fuori di tale area, le cui informazioni vengono elaborate in base alla presente Procedura, hanno il diritto, in base alla Procedura, di invocarne in qualunque momento i requisiti in qualità di beneficiari esterni, incluso il diritto di intraprendere un’azione giudiziaria per violazione dei propri diritti sanciti da questa Procedura (come indicato nella Sezione 2 sopra) e il diritto di ricevere un indennizzo per i danni risultanti da tale violazione. I residenti nell’area SEE o gli individui le cui informazioni personali sono soggette alla legge sulla protezione dei dati dell’area SEE e trasferite al di fuori di tale area (inclusi gli Stati Uniti), possono, in base alla presente Politica, intraprendere un’azione legale o inoltrare un reclamo nei confronti di la sussidiaria dell’azienda responsabile dell’esportazione dei dati personali al di fuori del SEE davanti:
      1. La giurisdizione dell’Esportatore dei Dati ubicato nell’area SEE, oppure
      2. La giurisdizione del Paese in cui si trova il nostro Responsabile della protezione dei dati europeo, oppure
      3. Le autorità competenti per la protezione dei dati (in particolare nello Stato membro della sua residenza abituale, del suo luogo di lavoro o del luogo della presunta violazione), oppure
      4. Le nostre Autorità responsabili della protezione dei dati che hanno disposto le nostre BCR: la CNIL francese.
   7. La nostra azienda risponderà al singolo o all’entità che ha sollevato la domanda, il reclamo o il dubbio entro trenta (30) giorni, a meno che una legge o una terza parte non richieda una risposta in un periodo di tempo più breve o che le circostanze comportino un periodo di tempo più lungo. In questo caso, il richiedente singolo o la terza parte riceverà una notifica in forma scritta.
4. Abbiamo la responsabilità di rispettare i nostri valori e i nostri standard in materia di privacy.
   1. La sussidiaria della nostra azienda responsabile di un’azione che dia adito a un incidente di privacy o un incidente di sicurezza comprovato è finanziariamente responsabile del risarcimento dovuto per eventuali danni o sanzioni amministrative o penalità derivanti da tali incidenti.
      1. In coordinamento con e sotto la direzione dell’ufficio per la privacy corporate, il Responsabile della protezione dei dati europeo deve garantire che vengano adottate tutte le azioni necessarie per affrontare le presunte violazioni della presente Politica da parte delle sussidiarie della nostra azienda al di fuori dell’area SEE e che abbiano effetto sui residenti dell’area SEE o sugli individui le cui informazioni personali sono soggette alla legge sulla protezione dei dati dell’area SEE e trasferite al di fuori di tale area. Laddove richiesto, Merck, Sharp & Dohme (Europe) Inc., USA – Filiale del Belgio (“MSD Europe”) è responsabile di pagare le sanzioni amministrative, le penalità o i danni riconosciuti per le violazioni della presente Procedura che abbiano effetto sui residenti dell’area SEE o sugli individui le cui informazioni personali sono soggette alla legge sulla protezione dei dati dell’area SEE e trasferite al di fuori di tale area. Con il supporto dell’ufficio per la privacy corporate e della sussidiaria della nostra azienda al di fuori dell’area SEE responsabile della presunta violazione, il Responsabile della protezione dei dati europeo dovrà dimostrare che la nostra azienda non è responsabile di tale violazione. Laddove un’altra sussidiaria della nostra azienda sia responsabile dell’azione che ha determinato la sanzione amministrativa, la penalità o il riconoscimento dei danni, a tale sussidiaria potrà essere richiesto di rimborsare immediatamente MSD Europe per le cifre da essa versate. Nel caso in cui una sussidiaria della nostra azienda all’esterno dell’area SEE violasse la presente Procedura, si applicherà la giurisdizione dei tribunali o delle autorità per la protezione dei dati dell’area SEE e i soggetti interessati potranno avvalersi dei diritti e risarcimenti nei confronti della sussidiaria dell’azienda responsabile dell’esportazione delle Informazioni personali al di fuori dell’area SEE come indicato nella Sezione 3.f sopra riportata.
      2. In coordinamento con e sotto la direzione dell’ufficio per la privacy corporate, Merck Sharp & Dohme LLC. deve garantire che vengano adottate tutte le azioni necessarie per affrontare le presunte violazioni della presente Politica che abbiano effetto sui residenti al di fuori dell’area SEE e, laddove richiesto, pagare le sanzioni amministrative, le penalità o i danni riconosciuti per le violazioni della presente Politica che abbiano effetto sui residenti al di fuori dell’area SEE o sugli individui le cui informazioni personali non sono soggette alla legge sulla protezione dei dati dell’area SEE. Laddove un’altra sussidiaria della nostra azienda sia responsabile dell’azione che ha determinato la sanzione amministrativa, la penalità o il riconoscimento dei danni, a tale sussidiaria potrà essere richiesto di rimborsare immediatamente Merck Sharp & Dohme LLC. per le cifre da essa versate.

Supervisione e monitoraggio

Per fornire assicurazione agli organi governativi e ad altri interlocutori sull’impegno della nostra azienda nei confronti delle pratiche etiche e responsabili, l’azienda continua a mantenere un gruppo di governance per il controllo e il monitoraggio, guidato da un responsabile della privacy con un ufficio per la privacy corporate (Global Privacy Office, GPO) dedicato, un responsabile della protezione dei dati (DPO) dell’UE, DPO locali laddove richiesto dalla legge o dalle autorità locali e sovrintendenti della privacy nominati dai dirigenti senior e che fungono da mediatori tra l’ufficio per la privacy corporate e le aree dell’organizzazione in cui operano.

La nostra azienda potrà contare su personale addetto al rispetto della privacy che dovrà verificarne periodicamente la conformità ai requisiti della presente Procedura e alle leggi, incluse le regole CBPR dell’area APEC.

Oltre ai riesami di garanzia della conformità gestiti dall’ufficio per la privacy corporate, team esterni e interni preposti alla garanzia della compliance e al controllo, svolgeranno revisioni di conformità per verificare l’adempienza alla presente Procedura da parte dell’Azienda, incluse le politiche, le procedure, gli standard e le linee guida subordinate alla presente. Saranno sviluppati e implementati piani di azione correttivi e dissuasivi per correggere le incongruità identificate rispettivamente dai team di controllo e di garanzia della conformità. I risultati del programma di controllo (Audit Program) saranno comunicati al responsabile per la privacy, il DPO pertinente e al consiglio per la protezione dei dati responsabile di documentarli come delineato nel presente documento.

Le autorità per la privacy e la protezione dei dati che hanno approvato la presente Procedura o hanno potere decisionale sulle pratiche della nostra azienda in base alla stessa, hanno il diritto di verificare la nostra conformità ad essa. Siamo tenuti a rispettare le raccomandazioni di queste autorità riguardo all’interpretazione e all’applicazione della Politica.

Termini che dovete conoscere

• Anonimizzazione. Alterazione, troncamento, cancellazione o altro tipo di redazione o modifica delle informazioni personali, in maniera tale da impedirne irreversibilmente l’utilizzo per identificare, localizzare o contattare un individuo, singolarmente o unitamente ad altre informazioni.
• Elaborazione. L’esecuzione di qualsiasi operazione o serie di operazioni sulle informazioni personali, con o senza mezzi automatici, inclusi, tra gli altri, la raccolta, la registrazione, l’organizzazione, l’archiviazione, l’accesso, l’adattamento, l’alterazione, il recupero, la consultazione, l’utilizzo, la valutazione, l’analisi, il reporting, la condivisione, la divulgazione, la diffusione, la trasmissione, la disponibilità, l’allineamento, la combinazione, il blocco, l’eliminazione, la cancellazione o la distruzione.
• Incidente di privacy. Una violazione della presente Procedura o di una legge sulla privacy o la protezione dei dati, che include un incidente di sicurezza. L’ufficio per la privacy corporate, il reparto ITRMS (Information Technology Risk Management and Security) hanno la responsabilità di stabilire se sia avvenuto un incidente di privacy e se sia da ritenersi un Violazione dei Dati Personali.
• Informazioni personali. Qualunque dato riguardante un individuo identificato o identificabile, inclusi i dati che identificano un individuo o che possono essere usati per identificare, individuare, registrare o contattare un individuo. Le Informazioni personali includono informazioni di identificazione diretta, ad esempio il nome, il numero di identificazione o la qualifica univoca, e informazioni di identificazione indiretta, come la data di nascita, l’identificativo univoco di un dispositivo mobile o indossabile, il numero di telefono o dati codificati con chiave e codici di identificazione online, ad esempio gli indirizzi IP o qualsiasi attività personale, comportamento o preferenze che possono essere raccolti per fornire servizi o prodotti.
• Informazioni sensibili. Qualunque tipo di informazioni personali che comporti un rischio intrinseco di danni a individui, come le informazioni definite dalla legge come sensibili, incluse, tra le altre, le informazioni relative allo stato di salute, dati genetici, biometrici, la razza, l’etnia, la religione, le opinioni politiche o le convinzioni filosofiche, i precedenti penali, informazioni di geolocalizzazione precise, numeri di conto bancari o simili, numeri di documenti di identificazione emessi dallo stato, informazioni su minori, vita sessuale, orientamento sessuale, iscrizione a organizzazioni sindacali, assicurazione, previdenza sociale e altri benefit erogati dal datore di lavoro o di natura pubblica.
• La nostra azienda. Merck & Co., Inc. (Rahway, NJ, USA), i propri successori, le proprie sussidiarie e divisioni a livello mondiale, escluse le joint venture di cui la nostra azienda fa parte.
• Legge. Tutte le leggi, le regole, i regolamenti e le ordinanze applicabili che hanno forza di legge in un Paese in cui la nostra azienda opera oppure in cui le informazioni personali vengono elaborate da o per conto della nostra azienda. Sono inclusi tutti i quadri normativi sulla privacy in base ai quali la nostra azienda è stata approvata o certificata, come le norme vincolanti d’impresa (Binding Corporate Rules, “BCR”), le Regole in materia di privacy transfrontaliera (“CBPR”),, della Cooperazione Economica Asiatico-Pacifica (“APEC”), lo Scudo UE-USA e Svizzera-USA per la privacy, ai sensi dei poteri di indagine e di applicazione della Commissione federale per il commercio statunitense..
• Terza parte. Qualunque entità legale, associazione o persona non controllata dalla nostra azienda oppure nella quale la nostra azienda non abbia un assetto di controllo o che non sia dipendente della nostra azienda. Salvo quanto espressamente stabilito nella presente Politica, nessuna sussidiaria o divisione della nostra azienda è tenuta a soddisfare i requisiti di una terza parte, in quanto a tutte le sussidiarie o divisioni viene richiesto di elaborare le informazioni personali in conformità con la presente Politica, incluse le circostanze in cui una delle sussidiarie dell’azienda supporti una o più altre sussidiarie nell’elaborazione.
• Violazione dei Dati Personali. Una violazione della sicurezza, o presunta tale dalla nostra azienda, che comporta l’accidentale o illegittima distruzione, perdita, alterazione, divulgazione o accesso non autorizzato alle Informazioni personali. L’accesso alle informazioni personali da parte o per conto della nostra azienda senza l’intento di violare la presente Procedura non costituisce una Violazione dei Dati Personali, a patto che le informazioni a cui si accede vengano utilizzate e divulgate solo nei limiti consentiti dalla stessa.

Modifiche alla presente Procedura

Questa Procedura potrà essere modificata di volta in volta, conformemente con i requisiti della legge applicabile. Ogni volta che verrà modificata in maniera sostanziale, sulla pagina Web dell’azienda dedicata alla privacy (https://www.msdprivacy.com/) verrà pubblicata una nota per la durata di 60 giorni.