Propósito:
Crear y conservar la confianza de quienes comparten sus datos personales con Organon Colombia S.A.S. (en adelante ORGANON).
Cumplir con las políticas corporativas de ORGANON así como con el derecho constitucional de Habeas Data, la Ley Estatutaria 1581 de 2012, el Decreto 1377 de 2013 y demás normas que les complementen o adicionen.
Aplica a:
El tratamiento de datos personales realizado por ORGANON y, por lo tanto, a todos los empleados de ORGANON, así como otras terceras partes que actúan a nombre de ORGANON.
Puntos Clave:
* Empleados, médicos, pacientes, clientes, proveedores y demás partes que interactúen con ORGANON.
* Conservamos, generamos y compartimos información personal sobre nosotros mismos y/o sobre otros, incluyendo datos personales sensibles.
* Estos datos son manejados con el mayor cuidado, siguiendo todas las normas vigentes de privacidad y protección de datos personales, así como los principios y condiciones descritas en esta política.
* Respetamos y seguimos los diez principios corporativos de Privacidad de ORGANON y los ocho principios rectores definidos en la Ley Estatutaria 1581 del 2012 al recopilar, utilizar, almacenar, eliminar o procesar de algún otro modo información personal.
* Este documento define las responsabilidades de todos los empleados de ORGANON, así como de los encargados del tratamiento de datos, en los diferentes roles relacionados con la privacidad.
* Cada año debemos comprobar nuestro cumplimiento con las normas de privacidad y protección de datos, certificando los hallazgos y compromisos para implementar las correcciones recomendadas o acciones de mejora.
Marco para tomar decisiones
Cada uno de nosotros tiene expectativas relacionadas con la privacidad, consideramos que “otros no deben entrometerse de forma irracional en nuestras cosas personales”. Cuando damos acceso a otros a nuestra información privada, generalmente lo hacemos para que sea usada de acuerdo con nuestras expectativas y la protejan de manera que refleje su sensibilidad. ORGANON respeta dichas expectativas y se esfuerza por mantener la confianza de sus clientes, proveedores, empleados, participantes en estudios clínicos, socios de negocio y toda parte con la que interactúa.
1. DEFINICIONES
A los siguientes términos se le dará el significado que a continuación se establece:
3. PROCEDIMIENTOS LOCALES DE OPERACIÓN
De la Autorización de Uso de Datos Personales
Al momento de recolectar cualquier dato personal, cada área responsable debe asegurar que se entregue una “Autorización de Uso de Datos Personales” al titular de los datos.
La Autorización de Uso de Datos Personales puede darse a los titulares a través de formatos impresos, digitales, visuales, sonoros, o de cualquier otra tecnología. El mecanismo seleccionado deberá ser documentado al igual que el método de retención de dicho consentimiento. Será importante que se obtenga la plena identificación del Titular que autoriza el Tratamiento.
En caso de no contar con una plantilla de “Autorización de Uso de Datos Personales”, el área que requiera el tratamiento de datos personales deberá asegurarse de solicitar a Business Practices o a Legal & Compliance, un formato de Autorización de Uso de Datos Personales para incorporarlo al proceso de recolección de datos personales que corresponda.
Si se recolectan datos personales “sensibles”, cada área responsable establecerá el mecanismo de recolección y el método de recolección en conjunto con Business Practices y Legal & Compliance.
De la necesidad de los datos
a. Cada área será responsable de recolectar solamente los datos personales estrictamente indispensables para el propósito definido dentro de la Autorización de Uso de Datos Personales.
b. Así mismo deberá establecer dentro de sus procedimientos, los mecanismos y controles para asegurar que solo se recojan los datos personales indispensables. En el caso de datos sensibles, deberá realizar una revisión más exhaustiva de la necesidad de los datos y justificar plenamente las finalidades y la relación entre los datos y la finalidad de tratamiento.
De la seguridad de los datos
a. Cada área será responsable de establecer y mantener medidas de seguridad administrativas, técnicas y físicas que protejan los datos contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
b. Las violaciones de seguridad que afecten de forma significativa los derechos patrimoniales o morales de los titulares, deben ser informadas de forma inmediata al titular. Para lo anterior, el área responsable deberá informar de manera inmediata a Business Practices y Legal & Compliance, en el momento en que ocurre o tiene conocimiento sobre dicha violación, para informar a la Oficina de Privacidad Global y al titular de los datos si así correspondiera, y realizar el debido reporte a las autoridades competentes según corresponda. Lo anterior de conformidad con lo establecido en la Política Corporativa de Privacidad.
c. El responsable o terceros que intervengan en el tratamiento de datos personales deberán guardar confidencialidad con respecto a estos, esto subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable.
Del ejercicio de los derechos de Elección, Acceso y Corrección de los datos
a. Los titulares de los datos tienen derecho a[1]:
Las solicitudes de elección, acceso y corrección deberán contener:
En todos los casos anteriores, el área responsable deberá informar la situación al solicitante.
De la Transferencia de Datos
a. Cuando ORGANON pretenda transferir los datos personales a terceros nacionales o extranjeros, distintos del encargado, deberá comunicarlo mediante la Autorización de Uso de Datos Personales y obtener consentimiento del titular del dato.
b. El responsable interno de cada base de datos con soporte de Business Practices y Legal & Compliance, se asegurarán de que en la Autorización de Uso de Datos Personales se incluya una notificación relacionada con las potenciales transferencias de datos para que el titular haya otorgado su consentimiento.
c. La divulgación a Encargados no requiere consentimiento (no se considera transferencia), siempre que se cumplan con las condiciones referidas más adelante. Se entiende como “Encargados”, las personas físicas o jurídicas que sola o conjuntamente con otras, traten datos personales por cuenta de ORGANON. El tercero receptor en calidad de encargado del tratamiento asumirá las mismas obligaciones que el responsable que transfirió los datos. Para este fin ORGANON suscribirá el correspondiente contrato de transmisión de datos personales en los términos establecidos por la regulación aplicable. En el caso en que no exista contrato de transmisión de datos suscrito será necesario contar con la autorización del titular de los datos.
d. Para la transferencia de datos, no se requiere consentimiento cuando:
Sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular.
Sea permitido según lo establecido en el artículo 26 de la Ley 1581 de 2012.
e. Las Transferencias de datos entre países deberán cumplir con lo establecido en la Política Corporativa y obtención de la autorización del titular.
f. En el caso de transferencias de datos a terceros países, se deberá verificar que el país al que se realiza la transferencia cumple con un nivel adecuado de protección de datos, de conformidad con los requerimientos de la Superintendencia de Industria y Comercio.
En el caso de Transmisión de datos se deberá actuar de conformidad a lo establecido en el Decreto 1377 de 2013, modificado por el Decreto 1074 de 2015.
Contratación de Terceros que recopilan, almacenan o procesan datos a nombre de MSD
a. Cuando se decida contratar a un tercero que recopilará, almacenará o procesará información a nombre de ORGANON, se requerirá que este realice una “auto-evaluación” sobre el manejo de datos personales, utilizando el formato de Evaluación de Privacidad de ORGANON.
b. La Evaluación mencionada en el párrafo anterior será realizada por el área de Procurement previo a la contratación del tercero.
c. El contrato con el tercero deberá contener el lenguaje y las responsabilidades sobre privacidad y protección de datos personales, y cumplir con los requisitos para los contratos de transmisión de datos establecidos en el Decreto 1377 de 2013 (modificado por el Decreto 1074 de 2015). El área de Legal & Compliance definirá el lenguaje apropiado para dicha cláusula.
d. Los contratos relacionados con Estudios Clínicos utilizarán el formato de contrato aprobado por la Corporación.
e. El control para el cumplimiento de los puntos anteriores se realizará a través de la lista de chequeo implementada por Procurement.
f. El tercero tendrá la calidad de Encargado de los datos personales y deberá cumplir con los deberes y obligaciones de los encargados de conformidad a lo establecido en la Ley 1518 de 2012.
De los datos que se recolectan
a. ORGANON únicamente recolectará datos que sean necesarios para el cumplimiento de las finalidades para las cuales éstos son requeridos.
b. En ocasiones se podrán recolectar datos personales sensibles, tales como la identificación a través de una fotografía, hábitos de consumo o estado de salud y patología, información de salud, en cuyo caso el área encargada establecerá las medidas de seguridad y confidencialidad necesarias para velar por la protección de dichos datos.
c. En todo caso, el tratamiento de datos personales sensibles, será informando de manera previa al titular de los mismos para que autorice dicho tratamiento en cumplimiento de los requisitos legales para este tipo de tratamientos.
d. ORGANON no recopila, usa o difunde datos de niños, niñas o adolescentes. Sin embargo, en los casos en que se evidencie que se ha recolectado dicha información, la misma se utilizará con el único propósito de contactar a un padre o tutor del menor para obtener el consentimiento y autorización para el tratamiento de los datos. Si no es posible obtener el consentimiento después de un periodo razonable de tiempo, o si cuando ORGANON realiza el contacto, el padre o tutor nos solicita no usar o mantener dicha información, la misma será eliminada de las bases de datos. La recopilación de datos personales de niños, niñas o adolescentes únicamente se realizará en el marco de los estudios clínicos de ORGANON debidamente acreditados ante la agencia regulatoria local y de conformidad con la autorización de tratamiento de datos personales aplicable para cada estudio clínico y definida por la Corporación
e. Los datos personales mencionados en los apartados a y b anteriores, podrán ser recolectados a través del diligenciamiento de contratos, formatos diversos y/o mediante la recopilación de información o documentación requerida por ORGANON, ya sea de manera personal, telefónica, por medios ópticos o por cualquier otra tecnología, así como por vía electrónica en cualquiera de las páginas de Internet de ORGANON.
4. REFERENCIAS Y RECURSOS
Documentos clave de referencia de ORGANON:
5. RESPONSABILIDAD DE IMPLEMENTACIÓN Y MANTENIMIENTO
Todos los empleados de la compañía son responsables de la aplicación y cumplimiento de esta Política.
6. INFORMACIÓN GENERAL
Las preguntas relacionadas con esta política deben dirigirse a privacidad.colombia@organon.com