Privacidad y Protección de Datos

Resumen
Propósito: Crear y conservar la confianza de los empleados, clientes y otras partes interesadas de Merck Sharp & Dohme Colombia S.A.S, Frosst Laboratories Inc. e Intervet Colombia Ltda (en adelante MSD), subsidiarias de la compañía Merck & Co.
Cumplir con las políticas corporativas de Merck así como con el derecho constitucional de Habeas Data, la Ley estatutaria 1581 de 2012, y el Decreto 1377 de 2013.
Aplica a: Todos los empleados de MSD Colombia, así como otras terceras partes que actúan a nombre de MSD.
Puntos Clave: * Empleados, médicos, pacientes y proveedores; tenemos, generamos y compartimos información personal sobre nosotros mismos y/o sobre otros, incluyendo datos personales sensibles.
* Estos datos son manejados con el mayor cuidado, siguiendo todas las normas relevantes de privacidad y protección de datos descritas en esta política.
* Respetamos y seguimos los diez principios corporativos de Privacidad de Merck y los ocho principios rectores definidos en la Ley estatutaria 1581 del 2012 al recopilar, utilizar, almacenar, eliminar o procesar de algún otro modo información personal.
* Cada año debemos comprobar nuestro cumplimiento con las normas de privacidad y protección de datos, certificando los hallazgos y compromisos para implementar las correcciones recomendadas o acciones de mejora.
* Este documento define las responsabilidades de todos los empleados en los diferentes roles relacionados con la privacidad.

Marco para tomar decisiones

Cada uno de nosotros tiene expectativas relacionadas con la privacidad, consideramos que otros no deben entrometerse de forma irracional en nuestros cosas personales. Cuando damos acceso a otros a nuestra información privada, generalmente lo hacemos para que sea usada de acuerdo con nuestras expectativas y la protejan de manera que refleje su sensibilidad. MSD respeta dichas expectativas y se esfuerza por mantener la confianza de sus clientes, empleados, participantes en estudios clínicos, socios de negocio y otros.

1. Definiciones

A los siguientes términos se le dará el significado que a continuación se establece:

  • Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales;
  • Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento;
  • Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales;
  • Encargado: podrá ser Merck, Sharp & Dohme Colombia S.A.S., o un tercero que éste designe, debiendo informar sobre tal designación a los Titulares de los datos.
  • Responsable: Merck, Sharp & Dohme Colombia S.A.S., con domicilio en la Calle 127 A No. 53 A – 45, Complejo Empresarial Colpatria, Torre 3 – Piso 8, Bogota, Colombia. Teléfono: 5924400 y/o Intervet Colombia Ltda con domicilio en la Transversal 23 No. 97-73 piso 7 Teléfono 5925050, Correo electrónico: privacidad.colombia@merck.com
  • Titular: Persona natural tales como clientes, consumidores, empleados, exempleados, proveedores, pacientes, profesionales de la salud, cuyos datos personales sean objeto de Tratamiento
  • Transferencia: actividad en la cual el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país
  • Transmisión: tratamiento de los Datos Personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable
  • Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

A continuación se listan algunos ejemplos de información personal:

  • Nombre e iniciales del nombre de alguien
  • Títulos educativos y certificados recibidos
  • Información de contacto de negocios (por ejemplo: dirección de negocios, teléfono de negocios, dirección de correo electrónico de negocios)
  • Información de contacto personal (por ejemplo: dirección del hogar, teléfono del hogar, dirección de correo electrónico personal)
  • Información financiera (por ejemplo: nivel de compensación, número de tarjeta de crédito, número de cuenta de banco, documentos fiscales)
  • Números de identificación (por ejemplo: número nacional de identificación, número de seguridad social, número de pasaporte, número de empleado)
  • Características personales (por ejemplo: edad, fecha de nacimiento, color de ojos, altura y peso, registro de voz)
  • Firma (ya sea escrita o electrónica)
  • Información de salud (por ejemplo: estado de salud, estado de enfermedad, historial médico, información genética, información del proveedor de cuidado de la salud, información de prescripciones).
  • Información electrónica (por ejemplo: información recopilada en su computadora o sitios web que usted ha visitado, dispositivos móviles)
  • Datos personales sensibles (por ejemplo: origen racial o étnico, datos relacionados con la historia clínica, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual, datos biométricos.)

2. Principios Clave

Los siguientes son puntos clave que se deben tener en cuenta al recopilar, utilizar, almacenar y eliminar, así como procesar de cualquier otra forma, información personal:

  • Respetamos las expectativas individuales de privacidad.
  • Documentamos un propósito legítimo de negocios (o conjunto de propósitos), limitamos la información personal que recopilamos, y la almacenamos sólo para este propósito.
  • Damos un aviso adecuado, y obtenemos consentimiento, sobre cómo la información personal que recopilamos será manejada.
  • Ofrecemos a las personas opciones sobre lo que recopilamos y cómo manejamos su información personal.
  • Mantenemos segura la información personal (ejemplos: bajo llave, protegida por contraseña, codificada), y utilizamos datos no identificables siempre que es posible.
  • Limitamos y documentamos el acceso a la información personal.
  • Proporcionamos a las personas formas de revisar y corregir su propia información personal.
  • Utilizamos la información personal sólo conforme al aviso dado y las opciones elegidas.
  • Somos transparentes en cuanto a cómo una persona puede presentar una queja o resolver una disputa relacionada con el manejo de su información.
  • Aplicamos las reglas locales y mundiales para la transmisión y transferencia de datos cuando transmitimos, transferimos, accedemos o utilizamos información personal de gente ajena a MSD o en otros países; trabajado en conjunto con la Oficina de Privacidad de Merck buscando garantizar que se conserve el cumplimiento fuera de nuestro país.
  • Hacemos seguimiento y velamos por el cumplimiento de nuestras políticas y procedimientos de privacidad y protección de datos.

3. Procedimientos Locales de Operación

Del "Aviso de Privacidad"

a. Al momento de recolectar cualquier dato personal, cada área responsable debe asegurar que se entregue un "Aviso de Privacidad" al titular de los datos.
  • Nuevos empleados de MSD: deberán firmar el aviso de manejo de información para fines laborales.
  • Inclusión de médicos al sistema de visita: Los Profesionales de la Salud que sean incluidos en la base de datos de MSD Connect deberán recibir la tarjeta de Privacidad para Profesionales de la Salud en el momento de recolectar los datos, el control de entrega se realizará utilizando la casilla de verificación en el sistema.
  • Estudios Clínicos: teniendo en cuenta las responsabilidades definidas en cada protocolo se requerirá la firma del Consentimiento Informado de aquellos individuos relacionados con el protocolo.
  • Pacientes: cuando se realice tratamiento de datos de pacientes será necesario que diligencien un Aviso de Privacidad en donde se establezca la forma en que se trataran los datos personales y datos personales sensibles proporcionados.
  • Cualquier otro titular: proveedores, clientes, terceros o cualquier otro titular al que se soliciten datos personales.
b. El "Aviso de Privacidad" puede darse a los titulares a través de formatos impresos, digitales, visuales, sonoros, o de cualquier otra tecnología. El mecanismo seleccionado deberá ser documentado al igual que y el método de retención de dicho consentimiento.
c. En caso de no contar con una plantilla de "Aviso de Privacidad", el área responsable deberá asegurarse de solicitar al área de Compliance y/o Legal un "Aviso de Privacidad" para incorporarlo al proceso de recolección de datos personales que corresponda.
d. Si se recolectan datos personales "sensibles", cada área responsable establecerá el mecanismo de recolección y el método de recolección en conjunto con el área Legal y Compliance.

De la necesidad de los datos

a. Cada área será responsable de recolectar solamente los datos personales estrictamente indispensables para el propósito definido dentro del "Aviso de Privacidad"
b. Así mismo deberá establecer dentro de sus procedimientos, los mecanismos y controles para asegurar que solo se recojan los datos personales indispensables.

De la seguridad de los datos

a. Cada área será responsable de establecer y mantener medidas de seguridad administrativas, técnicas y físicas que protejan los datos contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
b. Las violaciones de seguridad que afecten de forma significativa los derechos patrimoniales o morales de los titulares, deben ser informadas de forma inmediata al titular. Para lo anterior, el área responsable deberá informar al Oficial de Compliance sobre dicha violación, para informar a la Oficina de Privacidad Global y al titular de los datos si así correspondiera.
c. El responsable o terceros que intervengan en el tratamiento de datos personales deberán guardar confidencialidad con respecto a estos, esto subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable.

Del ejercicio de los derechos de Elección, Acceso y Corrección de los datos

a. Los titulares de los datos tienen derecho a1:
  • Acceder a sus datos y al Aviso de Privacidad
  • Rectificarlos y/o actualizarlos cuando sean inexactos o incompletos
  • Solicitar la supresión de sus datos de la base de datos
  • Revocar la autorización otorgada.
b. La solicitudes de elección, acceso y corrección deberán contener:
  • Nombre del titular y dirección u otro medio para comunicarle respuesta
  • Documentos que acrediten la identidad, o representación en su caso
  • Descripción clara de los datos personales respecto de los que busca ejercer alguno de los derechos mencionados, y que modificaciones solicita (en caso de corrección)
c. El Oficial de Compliance asegurará que los mecanismos establecidos para que los titulares puedan ejercer estos derechos, estén incluidos dentro del "Aviso de Privacidad".
d. El área de IT apoyará para contar con una dirección de correo electrónico para que los titulares de los datos puedan solicitar el ejercicio de sus derechos. Dicha dirección electrónica será monitoreada por el Oficial de Compliance.
e. En todos los casos, el Oficial de Compliance solicitará al responsable interno de cada base de datos, ejecutar la petición de ejercicio de derechos del titular y confirmar por escrito dicha ejecución, para posterior confirmación y/o respuesta al titular por parte del Oficial de Compliance.
f. En los casos en que el titular de los datos presente una consulta respecto de los datos que se encuentran en las bases de datos de MSD Colombia, el área responsable deberá dar respuesta en un plazo no mayor a diez (10) días hábiles contados a partir de la fecha de recibo de la consulta. Dicho término podrá ser prorrogado por hasta cinco (5) días, siempre que se informe al titular del dato la razón de la demora.
g. En el caso que el caso en que el titular de los datos presente un reclamo respecto de sus datos incluidos dentro de la base de datos de MSD Colombia, el área responsable deberá dar una respuesta dentro de los quince (15) días hábiles siguientes al recibo del reclamo. Dicho término podrá ser prorrogado hasta por ocho (8) días siempre que se informe al titular del dato la razón de la demora.
h. En todo caso, si el reclamo radicado por el titular resulta incompleto se podrá requerir al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo a fin de que complete el mismo. Si transcurridos dos (2) meses desde el requerimiento el titular no ha aportado la información adicional, se entenderá que ha desistido del reclamo.
i. En el caso de recibir algún reclamo por parte de un titular MSD Colombia deberá incluir en la base de datos dentro de los dos (2) días siguientes a la recepción del reclamo, una frase que diga “reclamo en trámite.
j. MSD podrá negar el acceso a los datos personales, o a realizar la corrección o cancelación o conceder la oposición al tratamiento cuando:
  • El solicitante no sea el titular o representante legal.
  • Cuando en la base de datos, no se encuentren los datos del solicitante.
  • Cuando se lesionen los derechos de un tercero.
  • Cuando exista un impedimento legal.

En todos los casos anteriores, el departamento de Compliance deberá informar sobre su decisión al solicitante.

1 Los demás establecidos en el artículo 8 de la Ley 1581 de 2012.

De la Transferencia de Datos

a. Cuando MSD pretenda transferir los datos personales a terceros nacionales o extranjeros, distintos del encargado, deberá comunicarlo mediante el Aviso de Privacidad y obtener consentimiento del titular del dato.
b. El responsable interno de cada base de datos con soporte del Oficial de Compliance y el departamento Legal, se asegurará de que en el "Aviso de Privacidad" se incluya una notificación relacionada con las potenciales transferencias de datos para que el titular haya otorgado su consentimiento.
c. La divulgación a Encargados no requiere consentimiento (no se considera transferencia). Se entiende como "Encargados", las personas físicas o jurídicas que sola o conjuntamente con otras trate datos personales por cuenta de MSD. El tercero receptor asumirá las mismas obligaciones que el responsable que transfirió los datos.
d. Para la transferencia de datos, no se requiere consentimiento cuando:
  • Cuando sea necesaria para el cumplimiento de un contrato en interés del titular.
  • Cuando sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular.
  • Cuando sea permitido según lo establecido en el artículo 16 de la Ley 1581 de 2012.
e. Las Transferencias de datos entre países deberán cumplir con lo establecido en la Política Corporativa 43: Política de Puerto Seguro, y obtención de la autorización del titular.
f. En el caso de Transmisión de datos se deberá actuar de conformidad a lo establecido en el Decreto 1377 de 2013.

Contratación de Terceros que recopilan, almacenan o procesan datos a nombre de MSD

a. Cuando se decida contratar a un tercero que recopilará, almacenará o procesará información a nombre de MSD, se requerirá que este realice una "auto-evaluación" sobre el manejo de datos personales, utilizando el formato de Evaluación de Privacidad de Merck.
b. La Evaluación mencionada en el párrafo anterior será solicitada por el departamento de compras, y realizada y revisada previo a la contratación del tercero por el Oficial de Compliance.
c. El contrato con el tercero deberá contener el lenguaje y las responsabilidades sobre privacidad de datos, el departamento Legal definirá el lenguaje apropiado para dicha cláusula.
d. Los contratos relacionados con Estudios Clínicos utilizarán el formato de contrato aprobado por la corporación.
e. El control para el cumplimiento de los puntos anteriores se realizará a través de la lista de chequeo implementada por Procurement.
f. El tercero tendrá la calidad de encargado de los datos personales y deberá cumplir con los deberes y obligaciones de los encargados de conformidad a lo establecido en la ley 1518 de 2012.

4. Control Anual

Cada año MSD debe certificar ante la Oficina Global de Privacidad de Datos de Merck, el cumplimiento con la protección de datos y el liderazgo del país debe, informando sobre los hallazgos y comprometiéndose a implementar las correcciones, recomendadas y/o las acciones de mejora. Durante el primer trimestre de cada año se definirá el alcance de la evaluación y los requerimientos de certificación.

5. Referencias y Recursos

Documentos clave de referencia de Merck:

  • Ley 1581 de 2012 y demás normas que la reglamenten, modifiquen, adicionen o complementen.
  • Decreto 1377 de 2013.
  • Política Corporativa 50: política mundial de privacidad y protección de datos.
    • Procedimiento Corporativo 50.1: Procedimientos Mundiales para Incidentes de Privacidad e Incidentes de Seguridad de Información Personal
    • Procedimiento Corporativo 50.2: Procedimiento Mundial de Corrección y Acceso a Información Personal
  • Política Corporativa 44: Política de Privacidad de Internet
  • Política Corporativa 43: Política de Puerto Seguro
  • Política Corporativa 26: Administración de Riesgos de Información

Recursos:

6. Responsabilidad de implementación y mantenimiento

Todos los empleados de la compañía son responsables de la aplicación y cumplimiento de esta política.

Información general

Las preguntas relacionadas con esta política deben dirigirse a: privacidad.colombia@merck.com

Derechos reservados ©2018 Merck Sharp & Dohme Corp. Una subsidiaria de Merck & Co., Inc.,Kenilworth, NJ, USA. Todos los derechos reservados.
Este sitio es solamente para los residentes de Colombia

TRUSTe - Click to Verify