Política global de privacidad 06-115GL
Tabla de Contenidos Nuestro objetivo 1 Qué 1 Quiénes 4 Procesamiento de Datos Personales 4 Procesamiento de Datos Confidenciales 4 Información para el Individuo 5 Recolección de Datos en Línea y Tecnologías Móviles 5 Evaluaciones de Riesgos 8 Acceso a los Datos Personales 8 Retención de Datos 8 Seguridad 10 Marketing Directo 10 Transferencia de Datos Personales a Terceros 11 Transferencias Internacionales de Datos 11 Roles de Gobierno y Responsabilidades 14 Políticas y Procedimientos 14 Capacitación 15 Monitoreo y Auditorías de Cumplimiento 15 Cambios a esta política 15 Definiciones 19
Proteger la privacidad y la seguridad de todos los datos personales. Nuestro objetivo En Shire, nuestra cultura empresarial única nos diferencia. Shire reconoce la importancia de proteger la privacidad y de mantener la seguridad de los Datos personales que nos confían Clientes, Pacientes, Profesionales de la Salud, Empleados, Personal, Socios de la Alianza y otras personas con las que tenemos interacciones comerciales. La naturaleza de nuestra empresa requiere que recolectemos y manipulemos Datos Personales y Confidenciales, y tenemos la responsabilidad de proteger esta información durante todo el tiempo en que se encuentre en nuestro poder o bajo nuestro control. En Shire, respetar la Privacidad es parte de nuestra cultura, así como también lo es nuestro compromiso de realizar negocios de una manera ética y que cumpla con la ley, según lo refleja el Código de Ética de Shire. Esta Política Global de Privacidad ( Política ), basada en varios requisitos legales globales y estándares, principios y prácticas internacionalmente reconocidos relacionados con el Procesamiento de Datos Personales, establece un marco de alto nivel e indica la manera en que Shire cumple con este compromiso. Qué Esta Política trata el procesamiento de Datos Personales de Clientes, Pacientes, Profesionales de la Salud, Empleados, Personal, Socios de la Alianza y otras personas con las que Shire mantiene interacciones comerciales. Esta política apunta a garantizar el cumplimiento de varias regulaciones, leyes, obligaciones contractuales y otros requisitos aplicables sobre Privacidad y Protección de Datos. Algunas leyes locales pueden requerir medidas o controles adicionales. En ese caso, las entidades de Shire sujetas a estos requisitos locales deben tomar las medidas necesarias para garantizar el cumplimiento adecuado. 1
2
Tenga en cuenta que existen diferentes requisitos en todo el mundo que afectan la manera de recolectar y procesar datos personales. 3
Quiénes Todo el Personal, Afiliados y Proveedores de Shire deben cumplir con esta Política. Las violaciones de esta Política por parte del Personal de Shire están sujetas a medidas correctivas y/o disciplinarias, que incluyen hasta la desvinculación. Procesamiento de Datos Personales Shire solamente procesa Datos Personales que sean relevantes y útiles para los fines para los que se recolectan. Los fines para el procesamiento de datos personales incluyen: Los datos necesarios para las operaciones comerciales de Shire, entre otros: marketing, ventas y otras actividades promocionales; actividades de investigación y desarrollo, incluidos los ensayos clínicos, actividades previas y posteriores a la comercialización; administración de programas de apoyo para pacientes (por ejemplo, servicios para pacientes); donaciones y patrocinios de beneficencia; relación con los clientes y gestión de cuentas; comunicaciones externas; Operaciones internas y gestión de personal, entre otras: finanzas y contabilidad; compras y adquisiciones; actividades de gestión relacionadas con recursos humanos, el Personal y los Empleados; fusiones, adquisiciones, venta de activos, alianzas, emprendimientos, etc.; para evitar, detectar, investigar y procesar violaciones de la ley o la política de Shire; La ejecución de procesos comerciales y la gestión interna (por ejemplo, auditorías internas, investigaciones, implementación de controles comerciales, gestión de los activos de la compañía); Como algo necesario para proteger la salud y la seguridad del Personal y los Empleados de Shire y los activos de Shire; El cumplimiento con las obligaciones legales y regulatorias a las que Shire está sujeta y Lo que en caso contrario requiera o permita la ley local. Shire realiza esfuerzos comercialmente razonables para lograr que los Datos Personales se mantengan precisos, completos, actualizados y confiables para el uso previsto. En los casos en los que lo requiere la ley, Shire obtiene el consentimiento de los individuos para procesar Datos Personales para un fin específico. Los Datos Personales solo pueden ser Procesados para un fin diferente del fin primario para el que se recolectaron inicialmente (es decir, un Fin Secundario) si: el Fin Secundario está estrechamente relacionado con el fin original; el individuo ha sido informado sobre los Fines Secundarios y el individuo ha dado su consentimiento para el Fin Secundario, cuando se solicitó; o la Ley local permite el procesamiento. Antes de procesar Datos Personales para un Fin Secundario, el Personal de Shire debe buscar el asesoramiento de los departamentos de Privacidad o Legal. Procesamiento de Datos Confidenciales La naturaleza de los negocios de Shire requiere el Procesamiento de Datos Confidenciales en ciertos casos, por ejemplo en las actividades de investigación y ensayos clínicos, las actividades de gestión de Recursos Humanos/ Personal, etc. Cuando se requiera dicho Procesamiento, se deberá tener especial cuidado para proteger los Datos Confidenciales, y se pueden aplicar requisitos adicionales, entre ellos: consentimiento explícito del individuo (por ejemplo, participación); medidas de seguridad adicionales (por ejemplo, el cifrado de los Datos Confidenciales en tránsito y en reposo, controles de seguridad físicos, técnicos y administrativos adicionales, etc.) minimización de los datos, cuando resulte posible (redacción de elementos de datos, eliminación de la identificación, codificación o pseudonimización, etc.). 4
Información para el Individuo Cuando Shire lo considere adecuado o lo requiera la ley aplicable, Shire informará a los individuos mediante notificaciones de privacidad sobre: los fines para los que se procesan sus Datos Personales; qué entidades de Shire son responsables del procesamiento de sus Datos Personales; otra información relevante, según se requiera, incluidos: categorías de Datos Personales que se Procesan; terceros a quienes se divulgan los Datos Personales; ubicación de las actividades de procesamiento de Datos Personales; información relacionada con la transferencia de los Datos Personales del individuo a otros países con leyes que pudieran proporcionar una protección menor que la que proporciona el país del individuo; de qué manera el individuo puede comunicarse con Shire en caso de tener dudas relacionadas con el procesamiento de sus Datos Personales. Recolección de Datos en Línea y Tecnologías Móviles Muchos países tienen leyes relacionadas con la recolección en línea de Datos Personales. La recolección y procesamiento de Datos Personales debe ser coherente con las Notificaciones sobre Privacidad de Shire publicadas 1, y el lugar en el que se encuentren, incluidas las Notificaciones sobre Cookies 2 implementadas en los sitios web de Shire. Además, cuando Shire lo considere adecuado, Shire incorporará la Privacidad por Diseño en el desarrollo de tecnologías, sistemas y aplicaciones digitales, incluidas las aplicaciones para dispositivos móviles, que pueden incluir la realización de evaluaciones de riesgos, la implementación de controles de seguridad, etc. 1 Puede encontrar la Notificación sobre Privacidad de Shire (EE. UU.) aquí: https://www.shire.com/legal-notice/privacy-policy 2 Puede encontrar la Notificación sobre Cookies de Shire (EE. UU.) aquí: https://www.shire.com/legal-notice/cookies 5
Conserve los datos personales solo durante el tiempo en que sean necesarios para el fin para el que se recolectan o cuando lo requieran otras Políticas de Shire (Retención Legal, Gestión de Información de Registros, etc.). 6
Consulte al Centro de Excelencia de Contratos de Shire y al asesor legal adecuado sobre todos los contratos relacionados con la transferencia o acceso a datos personales por parte de terceros. 7
Evaluaciones de Riesgos Cuando Shire lo considere necesario, o lo requiera la ley aplicable, las nuevas iniciativas o actividades que impliquen o afecten el Procesamiento de Datos Personales serán sometidas a evaluaciones de riesgos adecuadas (Evaluaciones de Impacto en la Privacidad), para evaluar, informar, mitigar y monitorear los riesgos asociados con el Procesamiento de datos previsto. Acceso a los Datos Personales Cuando lo requiera la ley, Shire les brinda a los individuos la oportunidad de acceder a los Datos Personales relacionados con ellos y, cuando Shire lo considere necesario, Shire satisfará las solicitudes del individuo para corregir, enmendar y rectificar sus Datos Personales. Siempre que resulte posible, Shire responderá a las solicitudes de los individuos para acceder a sus Datos Personales en el plazo de cuatro (4) semanas después de recibir la solicitud. Si la solicitud de información del individuo relacionada con sus Datos Personales procesados por Shire, o su solicitud para corregir, enmendar o rectificar los Datos Personales procesados por Shire no contiene los detalles suficientes que le permitan responder al Personal de Shire, Shire solicitará información adicional al individuo en un intento para satisfacer la solicitud. Antes de rechazar una solicitud para acceder, rectificar, eliminar u objetar el procesamiento de los Datos Personales, el Personal de Shire debe buscar el asesoramiento del Jefe de Privacidad o el Personal adecuado del departamento Legal o de Cumplimiento de Shire. Shire le proporcionará al individuo una explicación sobre las solicitudes rechazadas. Retención de Datos Shire solo retendrá los Datos Personales durante el tiempo necesario para cumplir con el fin para el que se recolectan, los fines para los que se autorizó el Procesamiento Secundario o durante el período necesario para cumplir con los requisitos legales aplicables. Para los fines de estatutos de las limitaciones aplicables, Shire puede especificar los cronogramas de retención de datos, según sea necesario. Al finalizar el período de retención aplicable, los Datos Personales deben ser: eliminados o destruidos de manera segura; anonimizados o archivados de manera segura, cuando lo permita o requiera la ley local aplicable o la política de retención de datos aplicable. 8
Proteja los datos personales al respetar las Políticas de Seguridad de la Información de Shire. 9
Seguridad Shire implementará las medidas de seguridad técnicas, físicas y de organización comercialmente razonables y adecuadas para proteger los Datos Personales contra el uso indebido o destrucción, pérdida, modificación, divulgación, adquisición o acceso accidental, ilegal o no autorizado, conforme a las políticas de seguridad de Shire. El Personal de Shire solamente accederá a los Datos Personales según sea necesario y en la medida en que se requiera para realizar sus funciones asignadas y para los fines para los que se recolectaron los Datos Personales. El Personal de Shire no compartirá, transferirá o bien divulgará Datos Personales de una manera inconsistente con esta Política, y Shire garantizará que se impongan controles contractuales y otros controles sobre los Procesadores de Datos externos. Todo el Personal de Shire cumplirá con las obligaciones de confidencialidad establecidas por contrato, el Código de Ética de Shire y las Políticas de Shire aplicables. Marketing Directo Cuando se procesan los Datos Personales a los fines del marketing directo, en la medida en que lo requiera la ley aplicable, Shire hará lo siguiente: obtener el consentimiento previo afirmativo (participación) del individuo en cuestión, o bien proporcionarle al individuo en cuestión la oportunidad de no recibir la comunicación (exclusión). En todas las comunicaciones de marketing directo subsiguientes enviadas a los individuos, cuando lo requiera la ley, el individuo debe recibir la oportunidad de no participaren las comunicaciones adicionales sobre marketing. Si un individuo no desea recibir comunicaciones sobre marketing de Shire, o elige retirar su consentimiento para recibir comunicaciones sobre marketing, Shire debe tomar las medidas razonables para garantizar que no se envíen más comunicaciones o materiales sobre marketing al individuo. 10
Transferencia de Datos Personales a Terceros Las transferencias de Datos Personales a terceros pueden ocurrir a través de una transferencia física o técnica real, o mediante el acceso remoto (lógico) a los Datos Personales. Shire transferirá Datos Personales a terceros: en la medida en que sea necesario para el fin para el que se procesan los Datos Personales; para los que el individuo haya proporcionado su consentimiento; según lo requiera la ley aplicable. Shire solo permitirá el procesamiento de Datos Personales por parte de Procesadores de Datos externos que hayan expresado su acuerdo con las obligaciones contractuales adecuadas relacionadas con el procesamiento de Datos Personales, incluido lo siguiente: el procesamiento de Datos Personales solo en la dirección y para los fines específicos autorizados por Shire; la protección de la confidencialidad, integridad y disponibilidad de Datos Personales; la implementación de medidas de seguridad técnicas, físicas y de organización adecuadas para proteger los Datos Personales; la prohibición a los subcontratistas/subprocesadores de Procesar los Datos Personales sin el consentimiento previo por escrito de Shire; proporcionar a Shire el derecho de revisar las medidas de seguridad o de realizar evaluaciones de riesgos de los proveedores, presentar las instalaciones de procesamiento para la inspección o auditoría por parte de Shire o la autoridad gubernamental relevante, o un auditor independiente; notificar de inmediato a Shire sobre cualquier incidente relacionado con la seguridad de la información que involucre los Datos Personales. Todos los contratos que impliquen la transferencia o el acceso a los datos personales por parte de terceros se deben bosquejar a través del asesoramiento del Centro de Excelencia de Contratos de Shire y el Asesor Legal de Shire adecuado. Transferencias Internacionales de Datos Muchos países tienen limitaciones y restricciones sobre la extensión y tipo de Datos Personales que se pueden transferir o procesar fuera del país de origen. Se debe tener extremo cuidado para garantizar que todo procesamiento de Datos Personales se realice conforme a la ley local, y que se incluya, cuando resulte necesario: la garantía de que se celebre un contrato entre Shire y el tercero ubicado en el País No Adecuado que requiera que el tercero proporcione un nivel adecuado de medidas de seguridad para proteger los Datos Personales (es decir, las Cláusulas Contractuales Estándar de la Unión Europea). el tercero ha implementado Reglas Corporativas Vinculantes o mecanismo o marco similar para legitimar la transferencia o se ha obtenido el consentimiento del individuo para la transferencia. 11
Busque asesoramiento en la Oficina de Privacidad de Shire para obtener información sobre los requisitos locales específicos. 12
Reconozca la importancia de proteger la privacidad y de mantener la seguridad de los datos personales que se nos confían. 13
Roles de Gobierno y Responsabilidades Se espera que el Personal de Shire realice las operaciones de Shire en cumplimiento de esta política y de todas las leyes de protección de datos y de Privacidad aplicables. Los Líderes Comerciales de cada unidad de negocio de Shire, las Compañías Operativas Locales y las Funciones Corporativas deben garantizar el cumplimiento de sus respectivas organizaciones con esta política y con todas las leyes de Protección de Datos y de Privacidad aplicables. El Jefe de Privacidad de Shire es responsable de: Supervisar el cumplimiento de esta política de Privacidad y de las leyes y regulaciones de Protección de Datos y de Privacidad aplicables; Establecer el marco de Cumplimiento de Privacidad de Shire, incluido lo siguiente: el desarrollo de políticas, procedimientos y procesos, según sean necesarios y adecuados; planificar la capacitación sobre privacidad y los programas sobre conciencia: monitorear y presentar informes sobre el cumplimiento de esta política; recolectar, investigar y resolver consultas, reclamos e inquietudes sobre privacidad; notificar al personal de Shire sobre los requisitos que provienen de esta política. Proporcionar informes periódicos, según corresponda o se solicite, al Director Principal de Cumplimiento y Riesgos, y otros miembros de la Gerencia Ejecutiva de Shire; Coordinar las investigaciones y consultas, en conjunto con el Personal de Cumplimiento y Legal local (LoC) de Shire, o las consultas sobre el procesamiento de Datos Personales. Políticas y Procedimientos Las unidades de negocio y Funciones Corporativas de Shire pueden desarrollar e implementar procedimientos, subpolíticas y procesos con el fin de garantizar el cumplimiento de esta política. Por consiguiente, todo procedimiento, subpolítica, proceso, guía, etc. debe ser coherente con los requisitos y principios establecidos en esta política y debe ser revisado y aprobado por el Jefe de Privacidad, cuando resulte adecuado. 14
Capacitación Shire brindará una capacitación sobre esta política y otros requisitos aplicables sobre Privacidad y protección de datos para el personal de Shire que tenga acceso a Datos Personales o que tenga responsabilidades asociadas con la gestión de los Datos Personales. Monitoreo y Auditorías de Cumplimiento Auditoría Interna de Shire realizará auditorías periódicas sobre los procesos comerciales de Shire que involucren el procesamiento de Datos Personales en el transcurso regular de las actividades de auditoría de Shire, o por pedido del Jefe de Privacidad de Shire. El Jefe de Privacidad también puede solicitar una auditoría a través de un auditor externo. Cambios a esta política Todo cambio a esta política requiere la revisión por parte del Consejo de Gobierno de la Información de Shire y la aprobación previa del Jefe de Privacidad y del Director Principal de Cumplimiento y Riesgos. 15
Asegúrese de que su equipo cumpla con esta política y con todas las leyes sobre Privacidad y Protección de Datos. 16
17
Conozca los riesgos Conozca los riesgos relacionados con el procesamiento de datos personales. Comuníquese con la Oficina de Privacidad de Shire para obtener ayuda con las evaluaciones de impacto en la privacidad. 18
Definiciones Compañías Operativas Locales (LoC) Es una Compañía Operativa Local de Shire. Consejo de Gobierno de la Información Es el equipo multidisciplinario, establecido por el Jefe de Seguridad y Cumplimiento de la Información, dentro de la oficina del Director Principal de Información, certificado para proporcionar una revisión de la política según lo requieran los miembros, y para desempeñarse como una función de escalamiento para la revisión y mitigación de los riesgos. Controlador de Datos Es la persona natural o legal, autoridad pública, agencia u otro organismo que solo, o junto a otros, determina los fines y medios del procesamiento de datos personales. Datos Confidenciales Son Datos Personales que: revelan el origen racial o étnico, opiniones políticas o pertenencia a un partido político u organizaciones similares, creencias religiosas o filosóficas, pertenencia a una organización profesional o de comercio o sindicato; están relacionados con la salud física o mental, incluida toda opinión sobre ello, discapacidades, código genético, adicciones, vida sexual, delitos, antecedentes penales, procesos judiciales relacionados con comportamientos criminales o ilegales; son emitidos por el gobierno (por ejemplo, número de seguro o de seguridad social); están relacionados con detalles de las transacciones financieras del individuo (por ejemplo, la información del saldo de la cuenta, historial de giros en descubierto, número de tarjeta de crédito o débito, número de cuenta, Número de Identificación Personal [PIN], etc.). Otros ejemplos de Datos Confidenciales incluyen: número de receta; información biométrica o perfil de ADN (huellas digitales, escaneo de retina, reconocimiento de voz, escaneo facial digital u otra representación física única); contraseñas, códigos de seguridad o de acceso. Datos Personales Es toda la información que por sí misma, o en combinación con otra información, se puede utilizar para identificar a una persona. Directiva sobre la Protección de Datos de la Unión Europea Es la Directiva 95/46/EC del Parlamento Europeo y del Consejo del 24 de octubre de 1995 sobre la protección de los individuos con respecto al procesamiento de Datos Personales y el libre movimiento de dichos datos. Empleado Es un empleado, candidato a un puesto o ex empleado de Shire. Evaluación de Impacto en la Privacidad Es un proceso utilizado para identificar y documentar los riesgos asociados con el Procesamiento de datos personales. Filial Es cualquier entidad legal que directa o indirectamente está controlada por, controla o se encuentra bajo el control común de Shire, siempre y cuando control signifique la posesión de más del 50% de otra entidad legal o el poder de dirigir decisiones de otra entidad legal, incluido el poder de dirigir la gestión y las políticas de otra entidad legal, ya sea por posesión, por contrato u otro medio. Fin Primario Es el fin para el cual se recolectaron los Datos Personales originalmente. Fin Secundario Es todo fin que no sea el fin original para el que se procesaron los Datos Personales. Función Corporativa Es un departamento corporativo dentro de Shire (por ejemplo, Recursos Humanos, Informática, Auditoría, Finanzas, Legal, Cumplimiento global y Gestión de riesgos, etc.). Jefe de Privacidad Es la persona responsable de establecer el Programa de Privacidad Global de Shire y de la interpretación y revisiones de esta Política. El Jefe de Privacidad informa al Director Principal de Cumplimiento y Riesgos. País No Adecuado Es un país que bajo la ley local aplicable no puede proporcionar un nivel adecuado de protección de datos. Personal Son todos los Empleados y otros trabajadores externos (asesores, contratistas, etc.) que procesan Datos Personales como parte de sus respectivas tareas o responsabilidades. Privacidad Generalmente, significa estar libre de la intrusión no autorizada y el derecho a controlar si se procesa la información personal de una persona, y cómo se procesa esta información. Privacidad por Diseño Es un método para proteger la privacidad mediante su inclusión en las especificaciones de diseño de las tecnologías, prácticas comerciales e infraestructuras físicas. Procesador de Datos Es la persona natural o legal, autoridad pública, agencia u otro organismo que solo, o junto a otros, procesa datos personales en nombre del controlador. Procesamiento Es toda operación que se realice sobre los Datos Personales, sea mediante medios automáticos o no, como la recolección, registro, almacenamiento, organización, modificación, uso, divulgación (incluido el otorgamiento del acceso remoto), transmisión o eliminación de Datos Personales. 19
Profesional de la Salud Todo miembro de las profesiones médica, dental, farmacéutica o de enfermería o cualquier otra persona que en el transcurso de sus actividades profesionales pueda recomendar, prescribir, comprar, suministrar o administrar un producto medicinal, o según lo definan los códigos o reglas y regulaciones locales aplicables. Proveedor Es toda persona o persona asociada con una entidad, que proporciona bienes o servicios a Shire (como un agente, asesor o proveedor). También se define en Proveedor, en la columna de la derecha. Seguridad En general, es el estado libre de peligros o amenazas. Con respecto a la información, Seguridad se refiere a las medidas o controles para proteger la confidencialidad, integridad y disponibilidad de la información. Shire Hace referencia a Shire plc y toda entidad de Shire a la cual se aplique el Código de Ética de Shire. Socios de la Alianza Es toda persona o persona asociada con una organización o entidad que tiene una relación comercial con Shire (por ejemplo, empresa conjunta, relación de marketing conjunta, etc.). Es legal? Es ético? Es cuestionable? Si tiene dudas, envíe un correo electrónico a PrivacyConnect@shire.com o llame a la línea telefónica de ayuda de Cumplimiento Global de Shire. 1 866 747 4473 20