Política de Privacidad
Propósito
Crear y conservar la confianza de quienes comparten sus datos personales con Merck Sharp & Dohme Colombia S.A.S, y Merck Sharp & Dohme Salud Animal Colombia S.A.S. (en adelante MSD), subsidiarias de la compañía Merck & Co. y Inc. Rahway, NJ, USA .
Cumplir con las políticas corporativas de MSD, así como con el derecho constitucional de Habeas Data, la Ley Estatutaria 1581 de 2012, el Decreto Reglamentario 1377 de 2013 (compilado en el Decreto Reglamentario 1074 de 2015), y las demás normas que la modifiquen, complementen o adicionen, las cuales en conjunto regulan el tratamiento de datos personales en Colombia.
Aplica a: El tratamiento de datos personales realizado por MSD en Colombia, así como otras terceras partes que actúen a nombre de MSD en el tratamiento de datos.
Puntos Clave:
- Empleados, médicos, médicos veterinarios, zootecnistas, médicos veterinarios zootecnistas, pacientes, clientes, proveedores y demás partes que interactúen con MSD.
- Conservamos, generamos y compartimos información personal sobre nosotros mismos y/o sobre otros, incluyendo datos personales sensibles.
- Estos datos son manejados con el mayor cuidado, siguiendo todas las normas vigentes de privacidad y protección de datos personales descritas en esta política.
- Respetamos y seguimos el Compromiso de Protección de Datos, que incluye los Diez Principios Corporativos de Privacidad de MSD, los ocho principios rectores definidos en la Ley Estatutaria 1581 del 2012, , al recopilar, utilizar, almacenar, eliminar o procesar de algún otro modo información personal.
- Este documento define las responsabilidades de MSD, y de sus empleados en los diferentes roles relacionados con la privacidad.
- Cada año debemos comprobar nuestro cumplimiento con las normas de privacidad y protección de datos, certificando los hallazgos y compromisos para implementar las correcciones recomendadas o acciones de mejora.
Marco para tomar decisiones
Cada uno de nosotros tiene expectativas relacionadas con la privacidad, consideramos que “otros no deben entrometerse de forma irracional en nuestras cosas personales”. Cuando damos acceso a otros a nuestra información privada, generalmente lo hacemos para que sea usada de acuerdo con nuestras expectativas y la protejan de manera que refleje su sensibilidad. MSD respeta dichas expectativas y se esfuerza por mantener la confianza de sus clientes, proveedores, empleados, participantes en estudios clínicos, socios de negocio y toda parte con la que interactúa.
1. DEFINICIONES
A los siguientes términos se le dará el significado que a continuación se establece:
- Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales.
- Base de Datos: Conjunto organizado de datos personales que sea objeto de tratamiento.
- Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales.
- Encargado: Un tercero que Merck Sharp & Dohme Colombia S.A.S. y/o Merck Sharp & Dohme Salud Animal Colombia S.A.S. designen como responsables del tratamiento, para que dicho tercero realice algún tratamiento de datos en nombre y por cuenta de MSD.
- Responsable: Para efectos de esta Política, Merck Sharp & Dohme Colombia S.A.S. (860.002.392-1) y/o Merck Sharp & Dohme Salud Animal Colombia S.A.S. (830.015.923-1), ambas con domicilio en la Calle 127 A No 53 A – 45. Torre 3- Piso 8 Bogotá, D.C., correo electrónico: privacidad.colombia@msd.com y teléfono: 5924400. En términos generales, la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.
- Titular: Persona natural tales como clientes, consumidores, empleados, exempleados, proveedores, pacientes, profesionales de la salud, cuyos datos personales sean objeto de tratamiento.
- Transferencia: actividad en la cual el responsable y/o encargado del tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del respectivo país.
- Transmisión: tratamiento de los datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del responsable.
- Tratamiento: Cualquier operación o conjunto de operaciones sobre Datos Personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
A continuación, se listan algunos ejemplos de información personal:
- Nombre e iniciales del nombre de alguien.
- Títulos educativos y certificados recibidos.
- Información de contacto de negocios (por ejemplo: dirección de negocios, teléfono de negocios, dirección de correo electrónico de negocios).
- Información de contacto personal (por ejemplo: dirección del hogar, teléfono del hogar, dirección de correo electrónico personal).
- Información financiera (por ejemplo: nivel de compensación, número de tarjeta de crédito, número de cuenta de banco, documentos fiscales).
- Números de identificación (por ejemplo: número nacional de identificación, número de seguridad social, número de pasaporte, número de empleado).
- Características personales (por ejemplo: edad, fecha de nacimiento, color de ojos, altura y peso, registro de voz).
- Firma (ya sea escrita o electrónica).
- Información de salud (por ejemplo: estado de salud, estado de enfermedad, historial médico, información genética, información del proveedor de cuidado de la salud, información de prescripciones).
- Información electrónica (por ejemplo: información recopilada en su computadora o sitios web que usted ha visitado, dispositivos móviles).
- Datos personales sensibles (por ejemplo: origen racial o étnico, datos relacionados con la historia clínica, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual, datos biométricos).
2. PRINCIPIOS CLAVE
Los siguientes son puntos clave que MSD tiene en cuenta al recopilar, utilizar, almacenar y eliminar, así como procesar de cualquier otra forma, información personal:
- Respetamos las expectativas individuales de privacidad.
- Documentamos un propósito legítimo de negocios (o conjunto de propósitos), limitamos la información personal que recopilamos y la almacenamos sólo para este propósito.
- Damos un aviso adecuado sobre cómo la información personal que recopilamos será manejada y obtenemos consentimiento antes de realizar las actividades de tratamiento, excepto cuando la ley aplicable prescinde de este requisito.
- Ofrecemos a las personas opciones sobre lo que recopilamos y cómo manejamos su información personal.
- Mantenemos segura la información personal (ejemplos: bajo llave, protegida por contraseña, codificada), y utilizamos datos no identificables siempre que es posible.
- Limitamos y documentamos el acceso a la información personal.
- Proporcionamos a las personas formas de revisar y corregir su propia información personal.
- Utilizamos la información personal sólo conforme a la autorización de uso dada y las opciones elegidas.
- Somos transparentes en cuanto a cómo una persona puede presentar una queja o resolver una disputa relacionada con el manejo de su información.
- Aplicamos las reglas locales y de otras legislaciones que puedan ser aplicables para la transmisión y transferencia de datos cuando transmitimos, transferimos, accedemos o utilizamos información dentro de Colombia o a otros países, trabajado en conjunto con la Oficina de Privacidad de MSD para garantizar que se conserve siempre el cumplimiento de las leyes aplicables.
- Hacemos seguimiento y velamos por el cumplimiento de nuestras políticas y procedimientos de privacidad y protección de datos.
3. PROGRAMA DE PRIVACIDAD DEL GRUPO DE COMPAÑÍAS MSD
El grupo de compañías al que pertenece MSD tiene un Programa de Privacidad Global que tiene como propósito definir y describir el conjunto mínimo de requisitos sobre el uso o procesamiento de información personal (PI) que MSD debe implementar y poner en funcionamiento para cumplir con los requisitos de nuestras políticas de privacidad y protección de datos. El Programa De Privacidad Global ha sido diseñado para permitir el flujo libre de Información Personal (PI) dentro del grupo con el fin de satisfacer las necesidades comerciales y respaldar nuestro modelo operativo global, dando cumplimiento a las leyes y regulaciones locales donde quiera que el grupo realiza negocios. Nuestras Políticas De Privacidad Globales se diseñaron para garantizar que todas las organizaciones involucradas en la recopilación, el uso o la gestión de PI tengan la infraestructura necesaria para respaldar el Programa de Privacidad Global
4. RESPONSABLES DEL TRATAMIENTO
Para efectos de esta Política, Merck Sharp & Dohme Colombia S.A.S. (860.002.392-1) y/o Merck Sharp & Dohme Salud Animal Colombia S.A.S. (830.015.923-1), ambas con domicilio en la Calle 127 A No 53 A – 45. Torre 3- Piso 8 Bogotá, D.C., correo electrónico: privacidad.colombia@msd.com y teléfono: 5924400.
5. PROCEDIMIENTOS RELACIONADOS CON EL TRATAMIENTO DE DATOS
De la autorización de tratamiento de datos personales
a. Al momento de recolectar cualquier dato personal, MSD se asegura de poner a disposición de los titulares de los datos una autorización de tratamiento de datos personales, la cual debe ser aceptada de manera previa y expresa por el titular de los datos antes de que MSD pueda realizar el tratamiento de los datos
- Nuevos empleados de MSD: deberán firmar la autorización o acuerdo de manejo de información para fines laborales.
- Inclusión de médicos al sistema de visita: Los Profesionales de la Salud (para HH y AH) que sean incluidos en la base de datos del CRM de la compañía deberán suscribir la autorización de tratamiento de datos personales, que será posteriormente adjuntada al sistema por el área responsable.
- Estudios Clínicos: teniendo en cuenta las responsabilidades definidas en cada protocolo, se requerirá la inclusión de la autorización de tratamiento de datos personales en los formatos de consentimiento informado de aquellos individuos relacionados con el respectivo protocolo de investigación clínica.
- Pacientes: cuando se realice tratamiento de datos de pacientes será necesario que diligencien una autorización de tratamiento de datos personales en donde se establezca la forma en que se trataran los datos personales y datos personales sensibles proporcionados. En el caso en que los pacientes sean menores de edad, sus representantes legales deberán suscribir el documento, en cumplimiento de la legislación aplicable.
- Cualquier otro titular/parte: proveedores, clientes, terceros o cualquier otro titular al que se soliciten datos personales.
b. La autorización de tratamiento de datos personales puede darse a los titulares a través de formatos impresos, digitales, visuales, sonoros, o de cualquier otra tecnología. El mecanismo seleccionado será documentado por MSD, al igual que el método de retención de dicho consentimiento. Será importante que se obtenga la plena identificación del titular que autoriza el tratamiento y se utilicen mecanismos que permitan la posterior consulta del consentimiento cuya prueba podrá ser solicitada por el titular o por la autoridad nacional de datos personales.
c. En caso de no contar con un modelo de autorización de tratamiento de datos personales, el área que requiera el tratamiento de datos personales deberá asegurarse de solicitar a Business Practices o a Legal & Compliance (o al encargado de Privacidad de datos para su división), un formato de autorización de tratamiento de datos personales para incorporarlo al proceso de recolección de datos personales que corresponda.
d. Si se recolectan datos personales “sensibles”, cada área responsable establecerá el mecanismo de recolección y el método de recolección en conjunto con Business Practices, Legal & Compliance y/o el Privacy Steward.
e. La autorización de envío de información a través de medios digitales podrá ser revocada sin afectar las demás actividades diferentes al envió de comunicaciones por medio de este canal.
De la necesidad de los datos
a. MSD recolecta solamente los datos personales estrictamente indispensables para el propósito definido dentro de la autorización de tratamiento de datos personales.
b. MSD establece dentro de sus procedimientos, los mecanismos y controles para asegurar que solo se recojan los datos personales indispensables.
De la seguridad de los datos
a. MSD establece y mantiene medidas de seguridad administrativas, técnicas y físicas que protegen los datos contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
Las violaciones de seguridad deben ser informadas a Business Practices y Legal & Compliance, en el momento en que ocurre o tiene conocimiento sobre dicha violación, para informar a la Oficina de Privacidad Global y al titular de los datos si así correspondiera, y realizar el debido reporte a las autoridades competentes según corresponda. Lo anterior de conformidad con lo establecido en la Política Corporativa de Privacidad.
b. MSD y todos los terceros que intervengan en el tratamiento de datos personales como encargados del tratamiento deberán guardaran confidencialidad con respecto a estos, esto subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable.
Del ejercicio de los derechos de los titulares de los datos, forma de ejercerlos y área encargada
Toda solicitud sobre el ejercicio de los derechos se debe realizar a través del formulario de solicitud de privacidad de datos de MSD, en la siguiente dirección: https://www.msdprivacy.com/ .
a. Los titulares de los datos tienen los derechos establecidos en el artículo 8 de la Ley 1581 de 2012, principalmente a:
- Acceder a sus datos y a la autorización de tratamiento de datos personales.
- Rectificarlos y/o actualizarlos cuando sean inexactos o incompletos.
- Solicitar la supresión de sus datos de la base de datos.
- Revocar la autorización otorgada
b. Las solicitudes de ejercicio de derechos deberán contener:
- Nombre del titular y dirección u otro medio para comunicarle respuesta.
- Documentos que acrediten la identidad, o representación en su caso.
- Descripción clara de los datos personales respecto de los que busca ejercer alguno de los derechos mencionados y qué modificaciones solicita (en caso de corrección).
c. Todas las peticiones, quejas o reclamos de los titulares de los datos relacionadas con sus datos personales serán tramitadas por el área de Business Practices y Legal & Compliance de MSD, en asocio con la persona encargada del tratamiento de datos dentro del área correspondiente.
d. El área de Business Practices y Legal & Compliance de MSD, se asegurará que los mecanismos establecidos para que los titulares puedan ejercer estos derechos, estén incluidos dentro de la autorización de tratamiento de datos personales.
e. El área de IT apoyará para contar con una dirección de correo electrónico para que los titulares de los datos puedan solicitar el ejercicio de sus derechos. Dicha dirección electrónica será monitoreada por el área de Business Practices y Legal & Compliance. En todos los casos, el área de Business Practices solicitará al responsable interno de cada base de datos, ejecutar la petición de ejercicio de derechos del titular y confirmar por escrito dicha ejecución, para posterior confirmación y/o respuesta al titular.
f. En los casos en que el titular de los datos presente una consulta respecto a sus datos que se encuentran en las bases de datos de MSD, el área responsable deberá dar respuesta en un plazo no mayor a diez (10) días hábiles contados a partir de la fecha de recibo de la consulta. Dicho término podrá ser prorrogado por hasta cinco (5) días, siempre que se informe al titular del dato la razón de la demora.
g. En el caso en que el titular de los datos presente un reclamo respecto de sus datos incluidos dentro de la base de datos de MSD, el área responsable deberá dar una respuesta dentro de los quince (15) días hábiles siguientes al recibo del reclamo. Dicho término podrá ser prorrogado hasta por ocho (8) días siempre que se informe al titular del dato la razón de la demora.
h. En todo caso, si el reclamo radicado por el titular resulta incompleto, se podrá requerir al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo a fin de que complete el mismo. Si transcurridos dos (2) meses desde el requerimiento el titular no ha aportado la información adicional, se entenderá que ha desistido del reclamo.
i. En el caso de recibir algún reclamo por parte de un titular, el área responsable deberá incluir en la base de datos dentro de los dos (2) días siguientes a la recepción del reclamo, una frase que diga “reclamo en trámite”.
j. MSD negará la solicitud de supresión de los datos cuando su conservación sea requerida para el cumplimiento de una obligación legal o contractual.
k. La solicitud o reclamo podrá ser rechazado cuando el solicitante no sea el titular y no demuestre de manera suficiente que tiene facultades para actuar en representación del titular.
De la Transferencia y Transmisión de Datos
a. Transferencia de Datos: Cuando MSD requiera transferir los datos personales a terceros nacionales o extranjeros, distintos a un encargado del tratamiento, deberá comunicarlo mediante la autorización de tratamiento de datos personales y obtener consentimiento del titular del dato, excepto que aplique alguna de las excepciones establecidas en el artículo 26 de la Ley 1581 del 2012. En términos generales, se dará cumplimiento a lo establecido en la legislación aplicable sobre el particular, especialmente la Ley 1581 de 2012 y el Decreto Reglamentario 1377 de 2013.
b. El responsable interno de cada base de datos con soporte de Business Practices y Legal & Compliance, se asegurarán de que en la autorización de tratamiento de datos personales se incluya una notificación relacionada con las potenciales transferencias de datos para que el titular haya otorgado su consentimiento.
c. Transmisión de Datos: La divulgación a encargados no requiere consentimiento siempre que se cumplan con las condiciones referidas más adelante. El tercero receptor que actúa como encargado del tratamiento asumirá las obligaciones que el responsable establezca y aquellas que le sean aplicables por ley. Para este fin MSD suscribirá contratos o acuerdos de transmisión y/o procesamiento de datos personales en los términos establecidos por la regulación aplicable. En el caso en que no exista contrato o acuerdo de transmisión y/o procesamiento de datos suscrito será necesario contar con la autorización expresa del titular de los datos. En términos generales, se dará cumplimiento a lo establecido en la legislación aplicable sobre el particular, especialmente la Ley 1581 de 2012 y el Decreto Reglamentario 1377 de 2013.
Contratación de Terceros que recopilan, almacenan o procesan datos a nombre de MSD
a. Cuando se decida contratar a un tercero que recopilará, almacenará o procesará información a nombre de MSD, se requerirá que este realice una “auto-evaluación” sobre el manejo de datos personales, utilizando el formato de Evaluación de Privacidad de MSD.
b. La Evaluación mencionada en el párrafo anterior será realizada por el área de Procurement previo a la contratación del tercero.
c. El contrato con el tercero deberá contener el lenguaje y las responsabilidades sobre privacidad y protección de datos personales. El área de Legal & Compliance definirá el lenguaje apropiado para dicha cláusula.
d. Los contratos relacionados con Estudios Clínicos utilizarán el formato de contrato aprobado por la Corporación.
e. El control para el cumplimiento de los puntos anteriores se realizará a través de la lista de chequeo implementada por Procurement.
f. El tercero tendrá la calidad de encargado del tratamiento y deberá cumplir con los deberes y obligaciones de los encargados de conformidad a lo establecido en la Ley 1581 de 2012 y demás normas aplicables.
De los datos que se recolectan
a. MSD únicamente recolectará datos que sean necesarios para el cumplimiento de las finalidades para las cuales éstos son requeridos.
b. En ocasiones se podrán recolectar datos personales sensibles, tales como la identificación a través de una fotografía, hábitos de consumo o estado de salud y patología, en cuyo caso MSD establecerá las medidas de seguridad y confidencialidad necesarias para velar por la protección de dichos datos.
c. En todo caso, el tratamiento de datos personales sensibles será informando de manera previa al titular de los mismos para que autorice dicho tratamiento, y se dará pleno cumplimiento de los requisitos legales para el tratamiento de este tipo de datos. En especial, de manera previa cuando se solicite la autorización de tratamiento, se le informará al titular que datos tienen naturaleza sensible, el carácter facultativo de la autorización del tratamiento de este tipo de datos y las finalidades específicas del tratamiento de los mismos.
d. MSD no recopila, usa o difunde datos de niños, niñas o adolescentes. Sin embargo, en los casos en que sea necesario recolectar dicha información, la misma se utilizará con el único propósito de contactar a un padre o tutor del menor para obtener el consentimiento y autorización para el tratamiento de los datos. Si no es posible obtener el consentimiento después de un periodo razonable de tiempo, o si cuando MSD realiza el contacto, el padre o tutor nos solicita no usar o mantener dicha información, la misma será eliminada de las bases de datos. La recopilación de datos personales de niños, niñas o adolescentes únicamente se realizará en el marco de los estudios clínicos de MSD debidamente acreditados ante la agencia regulatoria local y de conformidad con la autorización de tratamiento de datos personales aplicable para cada estudio clínico y definida por la Corporación). En cualquier caso, en la medida en que MSD realice el tratamiento de menores de edad, se dará pleno cumplimiento de los requisitos legales para el tratamiento de este tipo de datos. En especial, respetar y proteger en todo momento el interés superior del menor y contar con la autorización de sus representantes legales, de conformidad con la ley aplicable.
e. Los datos personales mencionados podrán ser recolectados a través del diligenciamiento de contratos, formatos diversos y/o mediante la recopilación de información o documentación requerida por MSD, ya sea de manera personal, telefónica, por medios ópticos o por cualquier otra tecnología, así como por vía electrónica en cualquiera de las páginas de Internet de MSD.
6. TRATAMIENTO AL QUE SERÁN SOMETIDOS LOS DATOS Y FINALIDADES DEL TRATAMIENTO
MSD recolectará y tratará datos personales principalmente con las siguientes finalidades:
• Empleados: Relaciones Laborales, Beneficios, seguridad y Salud
• Profesionales sanitarios: Promoción de medicamentos
• Pacientes: Ensayos Clínicos, Reportes de Calidad y seguridad de nuestros productos
7. RESPONSABILIDAD DE IMPLEMENTACIÓN Y MANTENIMIENTO
Todos los empleados de MSD son responsables de la aplicación y cumplimiento de esta Política.
8. INFORMACIÓN GENERAL
Las preguntas relacionadas con esta política deben dirigirse a privacidad.colombia@msd.com.