Política de Privacidad

Proposito:

Crear y conservar la confianza de quienes comparten sus datos personales con Merck Sharp & Dohme Colombia S.A.S, Frosst Laboratories Inc. en liquidación, Merck Sharp & Dohme Salud Animal Colombia S.A.S. (en adelante MSD), subsidiarias de la compañía Merck & Co., Inc. Rahway, NJ, USA.
Cumplir con las políticas corporativas de MSD así como con el derecho constitucional de
Habeas Data, la Ley Colombiana Estatutaria 1581 de 2012, el Decreto Colombiano 1377 de
2013 y demás normas que les complementen o adicionen.

Aplica a:

Todos los empleados de MSD Colombia, así como otras terceras partes que actúan a nombre de MSD.

Puntos Clave:

  • Empleados, médicos, médicos veterinarios, zootecnistas, médicos veterinarios
    zootecnistas, pacientes, clientes, proveedores y demás partes que interactúen con MSD.
  • Conservamos, generamos y compartimos información personal sobre nosotros mismos y/o sobre otros, incluyendo datos personales sensibles.
  • Estos datos son manejados con el mayor cuidado, siguiendo todas las normas vigentes de privacidad y protección de datos personales descritas en esta política.
  • Respetamos y seguimos los diez principios corporativos de Privacidad de MSD y los ocho principios rectores definidos en la Ley Colombiana Estatutaria 1581 del 2012 al recopilar, utilizar, almacenar, eliminar o procesar de algún otro modo información personal.
  • Este documento define las responsabilidades de todos los empleados en los diferentes roles relacionados con la privacidad.
  • Cada año debemos comprobar nuestro cumplimiento con las normas de privacidad y protección de datos, certificando los hallazgos

Marco para tomar decisiones

Cada uno de nosotros tiene expectativas relacionadas con la privacidad, consideramos que “otros no deben entrometerse de forma irracional en nuestras cosas personales”.Cuando damos acceso a otros a nuestra información privada,   generalmente lo hacemos para que sea usada de acuerdo con nuestras expectativas y la protejan de manera que refleje su sensibilidad. MSD respeta dichas expectativas y se esfuerza por mantener la confianza de sus clientes, proveedores,   empleados, participantes en estudios clínicos, socios de negocio y toda parte con la que interactúa.

  1.  DEFINICIONES

 A los siguientes términos se le dará el significado que a continuación se establece:

  • Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.
  • Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.
  • Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales.
  • Encargado: podrá ser Merck, Sharp & Dohme Colombia S.A.S., y/o Merck Sharp & Dohme Salud Animal Colombia S.A.S.., o un tercero que éste designe, debiendo informar sobre tal designación a los Titulares de los datos.
  • Responsable: Merck, Sharp & Dohme Colombia S.A.S., y/o Merck Sharp & Dohme Salud Animal Colombia S.A.S. con domicilio en la Calle 127 A No 53 A – 45. Torre 3- Piso 8 Bogotá, D.C. Correo electrónico: privacidad.colombia@merck.com Teléfono: +576015924400.
  • Titular: Persona natural tales como clientes, consumidores, empleados, exempleados, proveedores, pacientes, profesionales de la salud, cuyos datos personales sean objeto de Tratamiento.
  • Transferencia: actividad en la cual el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
  • Transmisión: tratamiento de los Datos Personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.
  • Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

   A continuación se listan algunos ejemplos de información personal:

  • Nombre e iniciales del nombre de alguien.
  • Títulos educativos y certificados recibidos.
  • Información de contacto de negocios (por ejemplo: dirección de negocios, teléfono de negocios, dirección de correo electrónico de negocios).
  • Información de contacto personal (por ejemplo: dirección del hogar, teléfono del hogar, dirección de correo electrónico personal).
  • Información financiera (por ejemplo: nivel de compensación, número de tarjeta de crédito, número de cuenta de banco, documentos fiscales).
  • Números de identificación (por ejemplo: número nacional de identificación, número de seguridad social, número de pasaporte, número de empleado).
  • Características personales (por ejemplo: edad, fecha de nacimiento, color de ojos, altura y peso, registro de voz).
  • Firma (ya sea escrita o electrónica).
  • Información de salud (por ejemplo: estado de salud, estado de enfermedad, historial médico, información genética, información del proveedor de cuidado de la salud, información de prescripciones).
  • Información electrónica (por ejemplo: información recopilada en su computadora o sitios web que usted ha visitado, dispositivos móviles).
  • Datos personales sensibles (por ejemplo:  origen racial o étnico, datos relacionados con la historia clínica, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual, datos biométricos).
  1.  PRINCIPIOS CLAVE

Los siguientes son puntos clave que se deben tener en cuenta al recopilar, utilizar, almacenar y eliminar, así como procesar de cualquier otra forma, información personal:

  • Respetamos las expectativas individuales de privacidad.
  • Documentamos un propósito legítimo de negocios (o conjunto de propósitos), limitamos la información personal que recopilamos y la almacenamos sólo para este propósito.
  • Damos un aviso adecuado y obtenemos consentimiento, sobre cómo la información personal que recopilamos será manejada.
  • Ofrecemos a las personas opciones sobre lo que recopilamos y cómo manejamos su información personal.
  • Mantenemos segura la información personal (ejemplos: bajo llave, protegida por contraseña, codificada), y utilizamos datos no identificables siempre que es posible.
  • Limitamos y documentamos el acceso a la información personal.
  • Proporcionamos a las personas formas de revisar y corregir su propia información personal.
  • Utilizamos la información personal sólo conforme a la autorización de uso dada y las opciones elegidas.
  • Somos transparentes en cuanto a cómo una persona puede presentar una queja o resolver una disputa relacionada con el manejo de su información.
  • Aplicamos las reglas locales y mundiales para la transmisión y transferencia de datos cuando transmitimos, transferimos, accedemos o utilizamos información personal de gente ajena a MSD o en otros países, trabajado en conjunto con la Oficina de Privacidad de MSD para garantizar que se conserve el cumplimiento fuera de nuestro país.
  • Hacemos seguimiento y velamos por el cumplimiento de nuestras políticas y procedimientos de privacidad y protección de datos.
  1.  PROCEDIMIENTOS LOCALES DE OPERACIÓN

   De la Autorización de Uso de Datos Personales

a. Al momento de recolectar cualquier dato personal, cada área responsable debe asegurar que se entregue una “Autorización de Uso de Datos Personales” al titular de los datos.

  • Nuevos empleados de MSD: deberán firmar el aviso de manejo de información para fines laborales.
  • Inclusión de médicos al sistema de visita: Los Profesionales de la Salud (para HH y AH) que sean incluidos en la base de datos del CRM de la compañía deberán suscribir la Autorización de Uso de Datos Personales, que será posteriormente adjuntada al sistema por el área responsable.
  • Estudios Clínicos: teniendo en cuenta las responsabilidades definidas en cada protocolo, se requerirá la inclusión de la Autorización de Uso de Datos Personales en los formatos de Consentimiento Informado de aquellos individuos relacionados con el respectivo protocolo de investigación clínica.
  • Pacientes: cuando se realice tratamiento de datos de pacientes será necesario que diligencien una Autorización de Uso de Datos Personales en donde se establezca la forma en que se trataran los datos personales y datos personales sensibles proporcionados.
  • Cualquier otro titular/parte: proveedores, clientes, terceros o cualquier otro titular al que se soliciten datos personales.

b. La Autorización de Uso de Datos Personales puede darse a los titulares a través de formatos impresos, digitales, visuales, sonoros, o de cualquier otra tecnología. El mecanismo seleccionado deberá ser documentado al igual que el método de retención de dicho consentimiento.

c. En caso de no contar con una plantilla de “Autorización de Uso de Datos Personales”, el área que requiera el tratamiento de datos personales deberá asegurarse de solicitar a Business Practices o a Legal & Compliance (o al encargado de Privacidad de datos para su división), un formato de Autorización de Uso de Datos Personales para incorporarlo al proceso de recolección de datos personales que corresponda.

d. Si se recolectan datos personales “sensibles”, cada área responsable establecerá el mecanismo de recolección y el método de recolección en conjunto con Business Practices, Legal & Compliance y/o el Privacy Steward.

e. La autorización de envío de información a través de medios digitales, podrá ser revocada sin afectar las demás actividades diferentes al envió de comunicaciones por medio de este canal, además deberá seguir el lineamiento definido en el Anexo 1 “Proceso de Cancelación a Subscripción en plataforma digital”.

   De la necesidad de los datos

a. Cada área será responsable de recolectar solamente los datos personales estrictamente indispensables para el propósito definido dentro de la Autorización de Uso de Datos Personales.

b. Así mismo deberá establecer dentro de sus procedimientos, los mecanismos y controles para asegurar que solo se recojan los datos personales indispensables.

   De la seguridad de los datos

a. Cada área será responsable de establecer y mantener medidas de seguridad administrativas, técnicas y físicas que protejan los datos contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado. Las violaciones de seguridad que afecten de forma significativa los derechos patrimoniales o morales de los titulares, deben ser informadas de forma inmediata al titular. Para lo anterior, el área responsable deberá informar a Business Practices y Legal & Compliance, sobre dicha violación, para informar a la Oficina de Privacidad Global y al titular de los datos si así correspondiera.

b. El responsable o terceros que intervengan en el tratamiento de datos personales deberán guardar confidencialidad con respecto a estos, esto subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable.

   Del ejercicio de los derechos de Elección, Acceso y Corrección de los datos

a. Los titulares de los datos tienen derecho a[1]:

  • Acceder a sus datos y a la Autorización de Uso de Datos Personales.
  • Rectificarlos y/o actualizarlos cuando sean inexactos o incompletos.
  • Solicitar la supresión de sus datos de la base de datos.
  • Revocar la autorización otorgada.

b. Las solicitudes de elección, acceso y corrección deberán contener:

  • Nombre del titular y dirección u otro medio para comunicarle respuesta.
  • Documentos que acrediten la identidad, o representación en su caso.
  • Descripción clara de los datos personales respecto de los que busca ejercer alguno de los derechos mencionados y qué modificaciones solicita (en caso de corrección).

c. Todas las peticiones, quejas o reclamos de los titulares de los datos relacionadas con sus datos personales serán tramitadas por Business Practices y Legal & Compliance, en asocio con la persona encargada del tratamiento de datos dentro del área correspondiente.

d. Business Practices y Legal & Compliance, asegurarán que los mecanismos establecidos para que los titulares puedan ejercer estos derechos, estén incluidos dentro de la Autorización de Uso de Datos Personales.

e. El área de IT apoyará para contar con una dirección de correo electrónico para que los titulares de los datos puedan solicitar el ejercicio de sus derechos. Dicha dirección electrónica será monitoreada por Business Practices y Legal & Compliance, en todos los casos, Business Practices solicitará al responsable interno de cada base de datos, ejecutar la petición de ejercicio de derechos del titular y confirmar por escrito dicha ejecución, para posterior confirmación y/o respuesta al titular.

f. En los casos en que el titular de los datos presente una consulta respecto a sus datos que se encuentran en las bases de datos de MSD Colombia, el área responsable deberá dar respuesta en un plazo no mayor a diez (10) días hábiles contados a partir de la fecha de recibo de la consulta. Dicho término podrá ser prorrogado por hasta cinco (5) días, siempre que se informe al titular del dato la razón de la demora.

g. En el caso en que el titular de los datos presente un reclamo respecto de sus datos incluidos dentro de la base de datos de MSD Colombia, el área responsable deberá dar una respuesta dentro de los quince (15) días hábiles siguientes al recibo del reclamo. Dicho término podrá ser prorrogado hasta por ocho (8) días siempre que se informe al titular del dato la razón de la demora.

h. En todo caso, si el reclamo radicado por el titular resulta incompleto, se podrá requerir al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo a fin de que complete el mismo. Si transcurridos dos (2) meses desde el requerimiento el titular no ha aportado la información adicional, se entenderá que ha desistido del reclamo.

i. En el caso de recibir algún reclamo por parte de un titular, el área responsable deberá incluir en la base de datos dentro de los dos (2) días siguientes a la recepción del reclamo, una frase que diga “reclamo en trámite”.

j. MSD negará el acceso a los datos personales o a realizar la corrección o cancelación o conceder la oposición al tratamiento cuando:

  • El solicitante no sea el titular o representante legal.
  • Cuando en la base de datos, no se encuentren los datos del solicitante.
  • Cuando se lesionen los derechos de un tercero.
  • Cuando exista un impedimento legal.

En todos los casos anteriores, el área responsable deberá informar la situación al solicitante.

   De la Transferencia de Datos

a. Cuando MSD pretenda transferir los datos personales a terceros nacionales o extranjeros, distintos del encargado, deberá comunicarlo mediante la Autorización de Uso de Datos Personales y obtener consentimiento del titular del dato.

b. El responsable interno de cada base de datos con soporte de Business Practices y Legal & Compliance, se asegurarán de que en la Autorización de Uso de Datos Personales se incluya una notificación relacionada con las potenciales transferencias de datos para que el titular haya otorgado su consentimiento.

c. La divulgación a Encargados no requiere consentimiento (no se considera transferencia). Se entiende como “Encargados”, las personas físicas o jurídicas que sola o conjuntamente con otras, traten datos personales por cuenta de MSD. El tercero receptor asumirá las mismas obligaciones que el responsable que transfirió los datos. Para este fin MSD suscribirá el correspondiente contrato de transmisión de datos personales en los términos establecidos por la regulación aplicable.

d. Para la transferencia de datos, no se requiere consentimiento cuando:

  • Sea necesaria para el cumplimiento de un contrato en interés del titular.
  • Sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular.
  • Sea permitido según lo establecido en el artículo 16 de la Ley 1581 de 2012.

e. Las Transferencias de datos entre países deberán cumplir con lo establecido en la Política Corporativa y obtención de la autorización del titular.

f. En el caso de Transmisión de datos se deberá actuar de conformidad a lo establecido en el Decreto Colombiano 1377 de 2013.

   Contratación de Terceros que recopilan, almacenan o procesan datos a nombre de MSD

a. Cuando se decida contratar a un tercero que recopilará, almacenará o procesará información a nombre de MSD, se requerirá que este realice una “auto-evaluación” sobre el manejo de datos personales, utilizando el formato de Evaluación de Privacidad de MSD.

b. La Evaluación mencionada en el párrafo anterior será realizada por el área de Procurement previo a la contratación del tercero.

c. El contrato con el tercero deberá contener el lenguaje y las responsabilidades sobre privacidad y protección de datos personales.El área de Legal & Compliance definirá el lenguaje apropiado para dicha cláusula.

d. Los contratos relacionados con Estudios Clínicos utilizarán el formato de contrato aprobado por la Corporación.

e. El control para el cumplimiento de los puntos anteriores se realizará a través de la lista de chequeo implementada por Procurement.

f. El tercero tendrá la calidad de Encargado de los datos personales y deberá cumplir con los deberes y obligaciones de los encargados de conformidad a lo establecido en la Ley Colombiana 1518 de 2012.

   De los datos que se recolectan

a. MSD únicamente recolectará datos que sean necesarios para el cumplimiento de las finalidades para las cuales éstos son requeridos.

b. En ocasiones se podrán recolectar datos personales sensibles, tales como la identificación a través de una fotografía, hábitos de consumo o estado de salud y patología, en cuyo caso el área encargada establecerá las medidas de seguridad y confidencialidad necesarias para velar por la protección de dichos datos.

c. En todo caso, el tratamiento de datos personales sensibles, será informando de manera previa al titular de los mismos para que autorice dicho tratamiento.

d. MSD no recopila, usa o difunde datos de niños, niñas o adolescentes. Sin embargo, en los casos en que se evidencie que se ha recolectado dicha información, la misma se utilizará con el único propósito de contactar a un padre o tutor del menor para obtener el consentimiento y autorización para el tratamiento de los datos. Si no es posible obtener el consentimiento después de un periodo razonable de tiempo, o si cuando MSD realiza el contacto, el padre o tutor nos solicita no usar o mantener dicha información, la misma será eliminada de las bases de datos. La recopilación de datos personales de niños, niñas o adolescentes únicamente se realizará en el marco de los estudios clínicos de MSD debidamente acreditados ante la agencia regulatoria local y de conformidad con la autorización de tratamiento de datos personales aplicable para cada estudio clínico y definida por la Corporación.

e. Los datos personales mencionados en los apartados a y b anteriores, podrán ser recolectados a través del diligenciamiento de contratos, formatos diversos y/o mediante la recopilación de información o documentación requerida por MSD, ya sea de manera personal, telefónica, por medios ópticos o por cualquier otra tecnología, así como por vía electrónica en cualquiera de las páginas de Internet de MSD.

 

  1.  REFERENCIAS Y RECURSOS

   Documentos clave de referencia de MSD:

  • Ley 1581 de 2012 y demás normas que la reglamenten, modifiquen, adicionen o complementen.
  • Decreto 1377 de 2013.
  • Política Corporativa 13.2 Global Privacy and Data Protection Policy.

   Recursos:

  • Link: http://www.corporativo.msd.com.co/acerca-de-nosotros/politica-de-privacidad.aspx
  • Sitio de Intranet de Privacidad de MSD: www.msdprivacy.com
  1.  RESPONSABILIDAD DE IMPLEMENTACIÓN Y MANTENIMIENTO

   Todos los empleados de la compañía son responsables de la aplicación y cumplimiento de esta Política.

  1.  INFORMACIÓN GENERAL

   Las preguntas relacionadas con esta política deben dirigirse a privacidad.colombia@msd.com.

 

[1] Paea Colombia: los demás establecidos en el artículo 8 de la Ley 1581 de 2012.