Política de Privacidad

POLÍTICA DE PRIVACIDAD

Resumen


Propósito:                           Crear y conservar la confianza de los empleados, clientes y otras partes interesadas de Merck Sharp & Dohme Colombia S.A.S, Frosst Laboratories Inc. en liquidación e Intervet Colombia Ltda (en adelante MSD), subsidiarias de la compañía Merck & Co., Inc.

                                                Cumplir con las políticas corporativas de Merck así como con el derecho constitucional de Habeas Data, la Ley estatutaria 1581 de 2012 y el Decreto 1377 de 2013.

Aplica a:                             Todos los empleados de MSD Colombia, así como otras terceras partes que actúan a nombre de MSD.

Puntos Clave:                    * Empleados, médicos, pacientes, clientes, proveedores; y demás partes que interactúen con MSD tenemos, generamos y compartimos información personal sobre nosotros mismos y/o sobre otros, incluyendo datos personales sensibles.

                                           * Estos datos son manejados con el mayor cuidado, siguiendo todas las normas relevantes de privacidad y protección de datos descritas en esta política.

                                           * Respetamos y seguimos los diez principios corporativos de Privacidad de Merck y los ocho principios rectores definidos en la Ley estatutaria 1581 del 2012 al recopilar, utilizar, almacenar, eliminar o procesar de algún otro modo información personal.

                                           * Cada año debemos comprobar nuestro cumplimiento con las normas de privacidad y protección de datos, certificando los hallazgos y compromisos para implementar las correcciones recomendadas o acciones de mejora.

                                           * Este documento define las responsabilidades de todos los empleados en los diferentes roles relacionados con la privacidad.

 

“Las Políticas, Procedimientos e Instrucciones son críticos para el éxito de MSD. Todos los empleados son responsables de su entendimiento y correcta aplicación. Cualquier aclaración o duda sobre la aplicación de las mismas debe ser consultada con el supervisor. Estas directrices deben ser aplicadas siempre por todos los empleados y personal externo que trabaje para MSD”.

 

Marco para tomar decisiones

Cada uno de nosotros tiene expectativas relacionadas con la privacidad, consideramos que “otros no deben entrometerse de forma irracional en nuestras cosas personales”. Cuando damos acceso a otros a nuestra información privada, generalmente lo hacemos para que sea usada de acuerdo con nuestras expectativas y la protejan de manera que refleje su sensibilidad. MSD respeta dichas expectativas y se esfuerza por mantener la confianza de sus clientes, proveedores, empleados, participantes en estudios clínicos, socios de negocio y toda parte con la que interactúa.

 

1.     DEFINICIONES

 

A los siguientes términos se le dará el significado que a continuación se establece:

ü  Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.

ü  Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.

ü  Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales.

ü  Encargado: podrá ser Merck, Sharp & Dohme Colombia S.A.S. y/o Intervet Colombia Ltda., o un tercero que éste designe, debiendo informar sobre tal designación a los Titulares de los datos.

ü  Responsable: Merck, Sharp & Dohme Colombia S.A.S., con domicilio en  la Calle 100 No. 7-33, Piso 8, Bogotá D.C. Colombia. Teléfono: 5924400  y/o Intervet Colombia Ltda. con domicilio en la Transversal 23 No. 97-73 piso 7 Teléfono 5925050, Correo electrónico: privacidad.colombia@merck.com

ü  Titular: Persona natural tales como clientes, consumidores, empleados, exempleados, proveedores, pacientes, profesionales de la salud, cuyos datos personales sean objeto de Tratamiento.

ü  Transferencia: actividad en la cual el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.

ü  Transmisión: tratamiento de los Datos Personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.

ü  Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

A continuación se listan algunos ejemplos de información personal:

 

ü  Nombre e iniciales del nombre de alguien.

ü  Títulos educativos y certificados recibidos.

ü  Información de contacto de negocios (por ejemplo: dirección de negocios, teléfono de negocios, dirección de correo electrónico de negocios).

ü  Información de contacto personal (por ejemplo: dirección del hogar, teléfono del hogar, dirección de correo electrónico personal).

ü  Información financiera (por ejemplo: nivel de compensación, número de tarjeta de crédito, número de cuenta de banco, documentos fiscales).

ü  Números de identificación (por ejemplo: número nacional de identificación, número de seguridad social, número de pasaporte, número de empleado).

ü  Características personales (por ejemplo: edad, fecha de nacimiento, color de ojos, altura y peso, registro de voz).

ü  Firma (ya sea escrita o electrónica).

ü  Información de salud (por ejemplo: estado de salud, estado de enfermedad, historial médico, información genética, información del proveedor de cuidado de la salud, información de prescripciones).

ü  Información electrónica (por ejemplo: información recopilada en su computadora o sitios web que usted ha visitado, dispositivos móviles).

ü  Datos personales sensibles (por ejemplo:  origen  racial  o  étnico,  datos relacionados con la historia clínica, estado  de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual, datos biométricos).

 

2.     PRINCIPIOS CLAVE

Los siguientes son puntos clave que se deben tener en cuenta al recopilar, utilizar, almacenar y eliminar, así como procesar de cualquier otra forma, información personal:

 

ü  Respetamos las expectativas individuales de privacidad.

ü  Documentamos un propósito legítimo de negocios (o conjunto de propósitos), limitamos la información personal que recopilamos y la almacenamos sólo para este propósito.    

ü  Damos un aviso adecuado y obtenemos consentimiento, sobre cómo la información personal que recopilamos será manejada.

ü  Ofrecemos a las personas opciones sobre lo que recopilamos y cómo manejamos su información personal.

ü  Mantenemos segura la información personal (ejemplos: bajo llave, protegida por contraseña, codificada), y utilizamos datos no identificables siempre que es posible.

ü  Limitamos y documentamos el acceso a la información personal. 

ü  Proporcionamos a las personas formas de revisar y corregir su propia información personal.

ü  Utilizamos la información personal sólo conforme al aviso dado y las opciones elegidas.

ü  Somos transparentes en cuanto a cómo una persona puede presentar una queja o resolver una disputa relacionada con el manejo de su información.

ü  Aplicamos las reglas locales y mundiales para la transmisión y transferencia de datos cuando transmitimos, transferimos, accedemos o utilizamos información personal de gente ajena a MSD o en otros países; trabajado en conjunto con la Oficina de Privacidad de Merck buscando garantizar que se conserve el cumplimiento fuera de nuestro país.

ü  Hacemos seguimiento y velamos por el cumplimiento de nuestras políticas y procedimientos de privacidad y protección de datos.

 

3.     PROCEDIMIENTOS LOCALES DE OPERACIÓN

 

Del "Aviso de Privacidad"

a.     Al momento de recolectar cualquier dato personal, cada área responsable debe asegurar que se entregue un "Aviso de Privacidad" al titular de los datos.

§  Nuevos empleados de MSD: deberán firmar el aviso de manejo de información para fines laborales.

§  Inclusión de médicos al sistema de visita: Los Profesionales de la Salud que sean incluidos en la base de datos de MSD Connect deberán suscribir el Aviso de Privacidad, que será posteriormente adjuntado al sistema por el área responsable.

§  Estudios Clínicos: teniendo en cuenta las responsabilidades definidas en cada protocolo se requerirá la firma del Consentimiento Informado de aquellos individuos relacionados con el protocolo.

§  Pacientes: cuando se realice tratamiento de datos de pacientes será necesario que diligencien un Aviso de Privacidad en donde se establezca la forma en que se trataran los datos personales y datos personales sensibles proporcionados.

§  Cualquier otro titular/parte: proveedores, clientes, terceros o cualquier otro titular al que se soliciten datos personales.

 

b.     El "Aviso de Privacidad" puede darse a los titulares a través de formatos impresos, digitales, visuales, sonoros, o de cualquier otra tecnología. El mecanismo seleccionado deberá ser documentado al igual que el método de retención de dicho consentimiento.

c.     En caso de no contar con una plantilla de "Aviso de Privacidad", el área responsable deberá asegurarse de solicitar a Legal & Compliance, Business Practices Officer / Business Practices Steward un "Aviso de Privacidad" para incorporarlo al proceso de recolección de datos personales que corresponda.

d.     Si se recolectan datos personales "sensibles", cada área responsable establecerá el mecanismo de recolección y el método de recolección en conjunto con Legal & Compliance, Business Practices Officer / Business Practices Steward.

 

De la necesidad de los datos

a.     Cada área será responsable de recolectar solamente los datos personales estrictamente indispensables para el propósito definido dentro del "Aviso de Privacidad".

b.     Así mismo deberá establecer dentro de sus procedimientos, los mecanismos y controles para asegurar que solo se recojan los datos personales indispensables.

 

De la seguridad de los datos

a.     Cada área será responsable de establecer y mantener medidas de seguridad administrativas, técnicas y físicas que protejan los datos contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.

b.     Las violaciones de seguridad que afecten de forma significativa los derechos patrimoniales o morales de los titulares, deben ser informadas de forma inmediata al titular. Para lo anterior, el área responsable deberá informar a Legal & Compliance, Business Practices Officer / Business Practices Steward sobre dicha violación, para informar a la Oficina de Privacidad Global y al titular de los datos si así correspondiera.

c.     El responsable o terceros que intervengan en el tratamiento de datos personales deberán guardar confidencialidad con respecto a estos, esto subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable.

 

Del ejercicio de los derechos de Elección, Acceso y Corrección de los datos

a.     Los titulares de los datos tienen derecho a[1]:

§  Acceder a sus datos y al Aviso de Privacidad.

§  Rectificarlos y/o actualizarlos cuando sean inexactos o incompletos.

§  Solicitar la supresión de sus datos de la base de datos.

§  Revocar la autorización otorgada.

b.     La solicitudes de elección, acceso y corrección deberán contener:

§   Nombre del titular y dirección u otro medio para comunicarle respuesta.

§   Documentos que acrediten la identidad, o representación en su caso.

§   Descripción clara de los datos personales respecto de los que busca ejercer alguno de los derechos mencionados y qué modificaciones solicita (en caso de corrección).

c.     Todas las peticiones, quejas o reclamos de los titulares de los datos relacionadas con sus datos personales serán tramitadas por Legal & Compliance, Business Practices Officer / Business Practices Steward en asocio con la persona encargada del tratamiento de datos dentro del área correspondiente.

d.     Legal & Compliance, Business Practices Officer / Business Practices Steward asegurarán que los mecanismos establecidos para que los titulares puedan ejercer estos derechos, estén incluidos dentro del "Aviso de Privacidad".

e.     El área de IT apoyará para contar con una dirección de correo electrónico para que los titulares de los datos puedan solicitar el ejercicio de sus derechos. Dicha dirección electrónica será monitoreada por Legal & Compliance, Business Practices Officer / Business Practices Steward En todos los casos, Legal & Compliance, Business Practices Officer / Business Practices Steward  solicitarán al responsable interno de cada base de datos, ejecutar la petición de ejercicio de derechos del titular y confirmar por escrito dicha ejecución, para posterior confirmación y/o respuesta al titular por parte del Legal & Compliance, Business Practices Officer / Business Practices Steward .

f.      En los casos en que el titular de los datos presente una consulta respecto de los datos que se encuentran en las bases de datos de MSD Colombia, el área responsable deberá dar respuesta en un plazo no mayor a diez (10) días hábiles contados a partir de la fecha de recibo de la consulta. Dicho término podrá ser prorrogado por hasta cinco (5) días, siempre que se informe al titular del dato la razón de la demora.

g.     En el caso en que el titular de los datos presente un reclamo respecto de sus datos incluidos dentro de la base de datos de MSD Colombia, el área responsable deberá dar una respuesta dentro de los quince (15) días hábiles siguientes al recibo del reclamo. Dicho término podrá ser prorrogado hasta por ocho (8) días siempre que se informe al titular del dato la razón de la demora.

h.     En todo caso, si el reclamo radicado por el titular resulta incompleto se podrá requerir al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo a fin de que complete el mismo. Si transcurridos dos (2) meses desde el requerimiento el titular no ha aportado la información adicional, se entenderá que ha desistido del reclamo.

i.      En el caso de recibir algún reclamo por parte de un titular, el área responsable deberá incluir en la base de datos dentro de los dos (2) días siguientes a la recepción del reclamo, una frase que diga “reclamo en trámite”.

j.      MSD podrá negar el acceso a los datos personales, o a realizar la corrección o cancelación o conceder la oposición al tratamiento cuando:

§  El solicitante no sea el titular o representante legal.

§  Cuando en la base de datos, no se encuentren los datos del solicitante.

§  Cuando se lesionen los derechos de un tercero.

§  Cuando exista un impedimento legal.

En todos los casos anteriores, el área responsable deberá informar sobre su decisión al solicitante.

 

De la Transferencia de Datos

a.     Cuando MSD pretenda transferir los datos personales a terceros nacionales o extranjeros, distintos del encargado, deberá comunicarlo mediante el Aviso de Privacidad y obtener consentimiento del titular del dato.

b.     El responsable interno de cada base de datos con soporte de Legal & Compliance, Business Practices Officer / Business Practices Steward, se asegurarán de que en el "Aviso de Privacidad" se incluya una notificación relacionada con las potenciales transferencias de datos para que el titular haya otorgado su consentimiento.

c.     La divulgación a Encargados no requiere consentimiento (no se considera transferencia). Se entiende como "Encargados", las personas físicas o jurídicas que sola o conjuntamente con otras traten datos personales por cuenta de MSD. El tercero receptor asumirá las mismas obligaciones que el responsable que transfirió los datos. Para este fin MSD suscribirá el correspondiente contrato de transmisión de datos personales en los términos establecidos por la regulación aplicable.

d.     Para la transferencia de datos, no se requiere consentimiento cuando:

§  Sea necesaria para el cumplimiento de un contrato en interés del titular.

§  Sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular.

§  Sea permitido según lo establecido en el artículo 16 de la Ley 1581 de 2012.

e.     Las Transferencias de datos entre países deberán cumplir con lo establecido en la Política Corporativa 43: Política de Puerto Seguro, y obtención de la autorización del titular.

f.      En el caso de Transmisión de datos se deberá actuar de conformidad a lo establecido en el Decreto 1377 de 2013.

 

Contratación de Terceros que recopilan, almacenan o procesan datos a nombre de MSD

a.     Cuando se decida contratar a un tercero que recopilará, almacenará o procesará información a nombre de MSD, se requerirá que este realice una "auto-evaluación" sobre el manejo de datos personales, utilizando el formato de Evaluación de Privacidad de Merck.

b.     La Evaluación mencionada en el párrafo anteriorserá solicitada por Procurement y realizada y revisada previo a la contratación del tercero por el área de Legal & Compliance.

c.     El contrato con el tercero deberá contener el lenguaje y las responsabilidades sobre privacidad de datos, el área de Legal & Compliance definirá el lenguaje apropiado para dicha cláusula.

d.     Los contratos relacionados con Estudios Clínicos utilizarán el formato de contrato aprobado por la corporación.

e.     El control para el cumplimiento de los puntos anteriores, se realizará a través de la lista de chequeo implementada por Procurement.

f.      El tercero tendrá la calidad de Encargado de los datos personales y deberá cumplir con los deberes y obligaciones de los encargados de conformidad a lo establecido en la Ley 1518 de 2012.

 

De los datos que se recolectan

a.     MSD únicamente recolectará datos que sean necesarios para el cumplimiento de las finalidades para las cuales éstos son requeridos.

b.     En ocasiones se podrán recolectar datos personales sensibles, tales como la identificación a través de una fotografía, hábitos de consumo o estado de salud y patología, en cuyo caso el área encargada establecerá las medidas de seguridad y confidencialidad necesarias para velar por la protección de dichos datos.

c.     En todo caso, el tratamiento de datos personales sensibles, será informando de manera previa al titular de los mismos para que autorice dicho tratamiento.

d.     MSD no recopila, usa o difunde datos de niños, niñas o adolescentes. Sin embargo, en los casos en que se evidencie que se ha recolectado dicha información, la misma se utilizará con el único propósito de contactar a un padre o tutor del menor para obtener el consentimiento y autorización para el tratamiento de los datos. Si no es posible obtener el consentimiento después de un periodo razonable de tiempo, o si cuando MSD realiza el contacto, el padre o tutor nos solicita no usar o mantener dicha información, la misma será eliminada de las bases de datos.

e.     Los datos personales mencionados en los apartados a y b anteriores, podrán ser  recolectados a través del diligenciamiento de contratos, formatos diversos y/o mediante la recopilación de información o documentación requerida por MSD, ya sea de manera personal, telefónica, por medios ópticos o por cualquier otra tecnología, así como por vía electrónica en cualquiera de las páginas de Internet de MSD.

 

 

4.     CONTROL ANUAL

 

Cada año MSD debe certificar ante la Oficina Global de Privacidad de Datos de Merck, el cumplimiento con la protección de datos y el liderazgo del país, informando sobre los hallazgos y comprometiéndose a implementar las correcciones, recomendaciones y/o las acciones de mejora. Durante el primer trimestre de cada año se definirá el alcance de la evaluación y los requerimientos de certificación.

 

 

5.     REFERENCIAS Y RECURSOS

 

Documentos clave de referencia de MSD:

ü  Ley 1581 de 2012 y demás normas que la reglamenten, modifiquen, adicionen o complementen.

ü  Decreto 1377 de 2013.

ü  Política Corporativa 50: política mundial de privacidad y protección de datos. 

§  Procedimiento Corporativo 50.1:  Procedimientos Mundiales para Incidentes de Privacidad e Incidentes de Seguridad de Información Personal

§  Procedimiento Corporativo 50.2:  Procedimiento Mundial de Corrección y Acceso a Información Personal

ü  Política Corporativa 44:  Política de Privacidad de Internet

ü  Política Corporativa 43:  Política de Puerto Seguro

ü  Política Corporativa 26:  Administración de Riesgos de Información

 

Recursos:

ü  Link: http://www.corporativo.msd.com.co/acerca-de-nosotros/politica-de-privacidad.aspx

ü  Sitio de Intranet de Privacidad de Merck:  http://privacy.merck.com/

 

 

6.     RESPONSABILIDAD DE IMPLEMENTACIÓN Y MANTENIMIENTO

 

Todos los empleados de la compañía son responsables de la aplicación y cumplimiento de esta Política.

 

 

7.     INFORMACIÓN GENERAL

 

Las preguntas relacionadas con esta política deben dirigirse a: privacidad.colombia@merck.com



[1]Los demás establecidos en el artículo 8 de la Ley 1581 de 2012.

Derechos reservados ©2012 Merck Sharp & Dohme Corp. Una subsidiaria de Merck & Co., Inc.,Kenilworth, NJ, USA. Todos los derechos reservados.
Este sitio es solamente para los residentes de Colombia

TRUSTe - Click to Verify