Política de Privacidad

Proposito:

Crear y conservar la confianza de quienes comparten sus datos personales con, Merck Sharp & Dohme (I.A.) LLC, Essexfarm S.A., Intervet Ecuador S.A., buscando informar a los titulares sobre las medidas técnicas, legales, organizacionales y administrativas que ha tomado MSD, con la finalidad de cumplir con la Ley Orgánica de Protección de Datos Personales.

Cumplir con las políticas corporativas de MSD así como con el derecho constitucional de Habeas Data, la Ley Orgánica de Protección de Datos Personales de Ecuador (LOPDP) y demás normas que les complementen o adicionen.

Establecer las directrices y principios que la organización seguirá para garantizar la privacidad y la seguridad de la información personal que recopila, procesa y almacena. Esta política tiene como objetivo fundamental proteger los derechos y la privacidad de los individuos cuyos datos personales son tratados por MSD.

Aplica a:

Todos los miembros de MSD Ecuador, así como otras terceras partes que actúan a nombre de MSD. Todo funcionario debe comprender y cumplir los principios establecidos en este SOP.

Esta Política se aplicará a todas las bases de datos y/o archivos que contengan datos personales que sean objeto de tratamiento por parte de la Compañía, así como por parte de cualquier tercero, individualmente considerados como corresponsables o encargados del tratamiento, que presten servicios de cualquier índole, siempre que reciban información por parte de la Compañía.

Puntos Clave:

  • Conservamos, generamos y compartimos información personal sobre nosotros mismos y/o sobre otros, incluyendo datos personales sensibles.
  • Estos datos son manejados con el mayor cuidado, siguiendo todas las normas vigentes de privacidad y protección de datos personales descritas en esta política.
  • Respetamos y seguimos los diez principios corporativos de Privacidad de MSD, y los trece principios rectores definidos en la LOPDP al recopilar, utilizar, almacenar, eliminar o procesar de algún otro modo información personal.
  • Este documento define las responsabilidades y compromisos de MSD la Compañía en los diferentes roles relacionados con la privacidad y protección de datos personales, cuyo objetivo principal es formar y concienciar a todos los empleados de MSD en materia de seguridad de la información y protección de datos personales, para que todos los empleados sean informados de sus funciones y obligaciones de seguridad y continuidad, y sean responsables de cumplirlas, velando por la protección de los datos de los titulares, así como sean informados de sus propios derechos como grupo de interés de la Compañía.
  • Cada año debemos comprobar nuestro cumplimiento con las normas de privacidad y protección de datos, certificando los hallazgos y compromisos para implementar las correcciones recomendadas o acciones de mejora.

Marco para tomar decisiones

Cada uno de nosotros tiene expectativas relacionadas con la privacidad, consideramos que “otros no deben interferir de forma irracional en nuestra esfera personal”. Cuando damos acceso a otros a nuestra información privada, lo hacemos con la confianza de que será usada de acuerdo con nuestras expectativas y se protegerá con la debida sensibilidad. MSD respeta dichas expectativas y se esfuerza por mantener la confianza de sus clientes, proveedores, empleados, participantes en estudios clínicos, socios de negocio y toda parte con la que interactúa.

  1.  DEFINICIONES

 A los siguientes términos se le dará el significado que a continuación se establece:

  • Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.
  • Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.
  • Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales.
  • Encargado: Tercero designado por MSD para llevar a cabo tratamientos específicos de datos personales en el contexto de la prestación de un servicio, a nombre y cuenta de MSD, debiendo informar sobre tal designación a los Titulares de los
  • Responsable: Es la entidad que decide cómo se recopilan y utilizan los datos personales. En Ecuador Merck Sharp & Dohme (I.A.) LLC con domicilio en A.V. República de El Salvador E10-44 y Naciones Unidas, Edificio CitiPlaza Piso 6 Quito D.C. Contacto ver https://corporativo.msd.com.ec/aviso-de-privacidad/ Teléfono: 2941700.
  • Titular: Persona natural tales como clientes, consumidores, empleados, exempleados, proveedores, pacientes, profesionales de la salud, cuyos datos personales sean objeto de
  • Transferencia: Actividad en la cual el Responsable y/o Encargado del Tratamiento de datos personales envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del respectivo país.
  • Transmisión: Tratamiento de los datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Ecuador cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.
  • Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

   A continuación se listan algunos ejemplos de información personal:

  • Datos identificativos: Nombre e iniciales del nombre de alguien; números de identificación (por ejemplo: número nacional de identificación, número de seguridad social, número de pasaporte, número de empleado). Características personales (por ejemplo: edad, fecha de nacimiento, color de ojos, altura y peso, registro de voz). Firma (ya sea escrita o electrónica).
  • Datos educativos: Títulos educativos y certificados
  • Datos profesionales: Información de contacto de negocios (por ejemplo: dirección de negocios, teléfono de negocios, dirección de correo electrónico de negocios).
  • Datos de contacto: Información de contacto personal (por ejemplo: dirección del hogar, teléfono del hogar, dirección de correo electrónico personal).
  • Datos crediticios: Información financiera (por ejemplo: nivel de compensación, número de tarjeta de crédito, número de cuenta de banco, documentos fiscales).
  • Datos de salud: ejemplo: estado de salud, estado de enfermedad, historial médico, información genética, información del proveedor de cuidado de la salud, información de
  • Datos de comportamiento en línea: ejemplo: información recopilada en su computadora o sitios web que usted ha visitado, dispositivos móviles.
  • Datos personales sensibles: origen racial o étnico, datos relacionados con la historia clínica, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual, datos biométricos.
  1.  PRINCIPIOS CLAVE

Los siguientes son puntos clave que se deben tener en cuenta al recopilar, utilizar, almacenar y eliminar, así como procesar de cualquier otra forma, información personal:

  • Respetamos las expectativas individuales de privacidad.
  • Documentamos un propósito legítimo de negocios (o conjunto de propósitos), limitamos la información personal que recopilamos y la almacenamos sólo para este propósito.
  • Damos un aviso adecuado y obtenemos consentimiento, sobre cómo la información personal que recopilamos será manejada.
  • Ofrecemos a las personas opciones sobre lo que recopilamos y cómo manejamos su información personal.
  • Mantenemos segura la información personal (ejemplos: bajo llave, protegida por contraseña, codificada), y utilizamos datos no identificables siempre que es posible.
  • Limitamos y documentamos el acceso a la información personal.
  • Proporcionamos a las personas formas de revisar y corregir su propia información personal.
  • Utilizamos la información personal sólo conforme a la autorización de uso dada y las opciones elegidas.
  • Somos transparentes en cuanto a cómo una persona puede presentar una queja o resolver una disputa relacionada con el manejo de su información.
  • Aplicamos las reglas locales y mundiales para la transmisión y transferencia de datos cuando transmitimos, transferimos, accedemos o utilizamos información personal de gente ajena a MSD o en otros países, trabajado en conjunto con la Oficina de Privacidad de MSD para garantizar que se conserve el cumplimiento fuera de nuestro país.
  • Hacemos seguimiento y velamos por el cumplimiento de nuestras políticas y procedimientos de privacidad y protección de datos.
  1. PROGRAMA DE PRIVACIDAD

El propósito del programa de privacidad es definir y describir el conjunto mínimo de requisitos sobre el uso o proceso de información personal (PI) que se deben implementar y poner en funcionamiento para cumplir con los requisitos de nuestras Políticas de privacidad y protección de datos. El programa de Privacidad global de la Compañía ha sido diseñado para permitir el flujo libre de Información Personal (PI) dentro de la Compañía para satisfacer las necesidades comerciales y respaldar nuestro modelo operativo global, mientras lo hace de una manera que cumple con las leyes y regulaciones locales dondequiera que la Compañía realiza negocios. Nuestras Políticas de privacidad global se diseñaron para garantizar que todas las organizaciones involucradas en la recopilación, el uso o la gestión de PI tengan la infraestructura necesaria para respaldar el programa global.

  1. PROCEDIMIENTOS LOCALES DE OPERACIÓN

   De la Autorización de Uso de Datos Personales

a. Al momento de recolectar cualquier dato personal, cada área responsable debe asegurar que se entregue una “Autorización de Uso de Datos Personales” al titular de los

    • Nuevos empleados de MSD: deberán firmar el aviso de manejo de información para fines
    • Inclusión de médicos al sistema de visita: Los Profesionales de la Salud (para HH y AH) que sean incluidos en la base de datos del CRM de la compañía deberán suscribir la Autorización de Uso de Datos Personales, que será posteriormente adjuntada al sistema por el área
    • Estudios Clínicos: teniendo en cuenta las responsabilidades definidas en cada protocolo, se requerirá la inclusión de la Autorización de Uso de Datos Personales en los formatos de Consentimiento Informado de aquellos individuos relacionados con el respectivo protocolo de investigación clínica.
    • Pacientes: cuando se realice tratamiento de datos de pacientes será necesario que diligencien una Autorización de Uso de Datos Personales en donde se establezca la forma en que se tratarán los datos personales y datos personales sensibles
    • Cualquier otro titular/parte: proveedores, clientes, terceros o cualquier otro titular al que se soliciten datos personales.

 

b. La Autorización de Uso de Datos Personales puede darse a los titulares a través de formatos impresos, digitales, visuales, sonoros, o de cualquier otra tecnología. El mecanismo seleccionado deberá ser documentado al igual que el método de retención de dicho

c. En caso de no contar con una plantilla de “Autorización de Uso de Datos Personales”, el área que requiera el tratamiento de datos personales deberá asegurarse de solicitar a Business Practices o a Legal & Compliance (o al encargado de Privacidad de datos para su división), un formato de Autorización de Uso de Datos Personales para incorporarlo al proceso de recolección de datos personales que corresponda.

d. Si se recolectan datos personales “sensibles”, cada área responsable establecerá el mecanismo de recolección y el método de recolección en conjunto con Business Practices, Legal & Compliance y/o el Privacy Steward,

e. La autorización de envío de información a través de medios digitales podrá ser revocada sin afectar las demás actividades diferentes al envío de comunicaciones por medio de este canal, además deberá seguir el lineamiento definido en el “Proceso de Cancelación a Subscripción en plataforma digital”.

   De la necesidad de los datos

a. MSD recolectará solamente los datos personales estrictamente indispensables para el propósito definido dentro de la Autorización de Uso de Datos

b.Así mismo deberá establecer dentro de sus procedimientos, los mecanismos y controles para asegurar que solo se recojan los datos personales

   De la seguridad de los datos

a. Cada área será responsable de establecer y mantener medidas de seguridad administrativas, técnicas y físicas que protejan los datos contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
Las violaciones de seguridad que afecten de forma significativa los derechos patrimoniales o morales de los titulares deben ser informadas de forma inmediata al titular. Para lo anterior, el área responsable deberá informar a Business Practices y Legal & Compliance, sobre dicha violación, para informar a la Oficina de Privacidad Global y al titular de los datos si así correspondiera.
b. El responsable o terceros que intervengan en el tratamiento de datos personales deberán guardar confidencialidad con respecto a estos, esto subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable.

   Del ejercicio de los derechos de Elección, Acceso y Corrección de los datos

Toda solicitud sobre el ejercicio de los derechos se debe realizar a través del Formulario de solicitud de privacidad de datos de MSD, en la siguiente dirección https://www.msdprivacy.com/

a. Los titulares de los datos tienen derecho a1:
 Acceder a sus datos y a la Autorización de Uso de Datos Personales.
 Rectificarlos y/o actualizarlos cuando sean inexactos o incompletos.
 Solicitar la supresión de sus datos de la base de datos.
 Revocar la autorización otorgada.
b. Las solicitudes de elección, acceso y corrección deberán contener:
 Nombre del titular y dirección u otro medio para comunicarle respuesta.
 Documentos que acrediten la identidad, o representación en su caso.
 Descripción clara de los datos personales respecto de los que busca ejercer alguno de los derechos mencionados y qué modificaciones solicita (en caso de corrección).
c. Todas las peticiones, quejas o reclamos de los titulares de los datos relacionadas con sus datos personales serán tramitadas por Business Practices y Legal & Compliance, en asocio con la persona encargada del tratamiento de datos dentro del área correspondiente.
d. Business Practices y Legal & Compliance, asegurarán que los mecanismos establecidos para que los titulares puedan ejercer estos derechos, estén incluidos dentro de la Autorización de Uso de Datos Personales.
e. El área de IT apoyará para contar con una dirección de correo electrónico para que los titulares de los datos puedan solicitar el ejercicio de sus derechos. Dicha dirección electrónica será monitoreada por Business Practices y Legal & Compliance, En todos los casos, Business Practices solicitará al responsable interno de cada base de datos, ejecutar la petición de ejercicio de derechos del titular y confirmar por escrito dicha ejecución, para posterior confirmación y/o respuesta al titular.
f. En los casos en que el titular de los datos presente una consulta respecto a sus datos que se encuentran en las bases de datos de MSD Ecuador, el área responsable deberá dar respuesta en un plazo no mayor a diez (10) días contados a partir de la fecha de recibo de la consulta. Dicho término podrá ser prorrogado por hasta cinco (5) días, siempre que se informe al titular del dato la razón de la demora.
g. En el caso en que el titular de los datos presente un reclamo respecto de sus datos incluidos dentro de la base de datos de MSD Ecuador, el área responsable deberá dar una respuesta dentro de los quince (15) días hábiles siguientes al recibo del reclamo.
h. En todo caso, si el reclamo radicado por el titular resulta incompleto, se podrá requerir al interesado dentro de los cinco
(5) días siguientes a la recepción del reclamo a fin de que complete el mismo. Si transcurridos dos (2) meses desde el requerimiento el titular no ha aportado la información adicional, se entenderá que ha desistido del reclamo.
i. En el caso de recibir algún reclamo por parte de un titular, el área responsable deberá incluir en la base de datos dentro de los dos (2) días siguientes a la recepción del reclamo, una frase que diga “reclamo en trámite”.
j. MSD negará el acceso a los datos personales o a realizar la corrección o cancelación o conceder la oposición al tratamiento cuando:

  • El solicitante no sea el titular o representante legal.
  • Cuando en la base de datos, no se encuentren los datos del solicitante.
  • Cuando se lesionen los derechos de un tercero.
  • Cuando exista un impedimento legal.
  • No proceda conforme las excepciones señaladas en la LOPDP.

En todos los casos anteriores, el área responsable deberá informar la situación al solicitante.

   De la Transferencia de Datos

a. Cuando MSD pretenda transferir los datos personales a terceros nacionales o extranjeros, distintos del encargado, deberá comunicarlo mediante la Autorización de Uso de Datos Personales y obtener consentimiento del titular del dato. En todo caso, el responsable del tratamiento se compromete a acatar estrictamente la LOPDP en relación con las transferencias internacionales de datos. Estas transferencias se realizarán a países con niveles adecuados de protección, de acuerdo con los criterios definidos en el Reglamento de la Ley, y previa emisión de una resolución motivada por parte de la Autoridad de Protección de Datos Personales. En el caso de transferencias a países que no cumplan con los niveles adecuados de protección, MSD garantizará que se ofrezcan garantías adecuadas para el titular de los datos, incluyendo el cumplimiento de principios, derechos y obligaciones equiparables o superiores a la normativa ecuatoriana vigente, así como la disponibilidad de acciones judiciales y el derecho a la reparación integral.
b. El responsable interno de cada base de datos con soporte de Business Practices y Legal & Compliance, se asegurarán de que en la Autorización de Uso de Datos Personales se incluya una notificación relacionada con las potenciales transferencias de datos para que el titular haya otorgado su consentimiento.
c. La divulgación a Encargados no requiere consentimiento (no se considera transferencia). Se entiende como “Encargados”, las personas físicas o jurídicas que sola o conjuntamente con otras, traten datos personales por cuenta de MSD. El tercero receptor asumirá las mismas obligaciones que el responsable que transmitió los datos. Para este fin MSD suscribirá el correspondiente contrato de encargado de tratamiento de datos personales en los términos establecidos por la regulación aplicable.
d. Para la transferencia de datos, no se requiere consentimiento cuando:

  • Sea necesaria para el cumplimiento de un contrato en interés del titular.
  • Sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular.

e. Las Transferencias de datos entre países deberán cumplir con lo establecido en la Política Corporativa y los estándares de seguridad señalados en la LOPDP.

   Contratación de Terceros que recopilan, almacenan o procesan datos a nombre de MSD

a. Cuando se decida contratar a un tercero que recopilará, almacenará o procesará información a nombre de MSD, se requerirá que este realice una “auto-evaluación” sobre el manejo de datos personales, utilizando el formato de Evaluación de Privacidad de MSD.
b. La Evaluación mencionada en el párrafo anterior será realizada por el área de Procurement previo a la contratación del tercero.
c. El contrato con el tercero deberá contener el lenguaje y las responsabilidades sobre privacidad y protección de datos personales. El área de Legal & Compliance definirá el lenguaje apropiado para dicha cláusula.
d. Los contratos relacionados con Estudios Clínicos utilizarán el formato de contrato aprobado por la Corporación.
e. El control para el cumplimiento de los puntos anteriores se realizará a través de la lista de chequeo implementada por Procurement.

   De los datos que se recolectan

a. MSD únicamente recolectará datos que sean necesarios para el cumplimiento de las finalidades para las cuales éstos son requeridos.
b. En ocasiones se podrán recolectar datos personales sensibles, tales como la identificación a través de una fotografía, hábitos de consumo o estado de salud y patología, en cuyo caso el área encargada establecerá las medidas de seguridad y confidencialidad necesarias para velar por la protección de dichos datos.
c. En todo caso, el tratamiento de datos personales sensibles, será informando de manera previa al titular de los mismos para que autorice dicho tratamiento.
d. MSD no recopila, usa o difunde datos de niños, niñas o adolescentes. Sin embargo, en los casos en que se evidencie que se ha recolectado dicha información, la misma se utilizará con el único propósito de contactar a un padre o tutor del menor para obtener el consentimiento y autorización para el tratamiento de los datos. Si no es posible obtener el consentimiento después de un periodo razonable de tiempo, o si cuando MSD realiza el contacto, el padre o tutor nos solicita no usar o mantener dicha información, la misma será eliminada de las bases de datos. La recopilación de datos personales de niños, niñas o adolescentes únicamente se realizará en el marco de los estudios clínicos de MSD debidamente acreditados ante la agencia regulatoria local y de conformidad con la autorización de tratamiento de datos personales aplicable para cada estudio clínico y definida por la Corporación, así como para el caso de acceso a este tipo de datos especiales para el desarrollo y ejecución de la relación laboral con nuestros empleados.
e. Los datos personales mencionados en los apartados a y b anteriores, podrán ser recolectados a través del diligenciamiento de contratos, formatos diversos y/o mediante la recopilación de información o documentación requerida por MSD, ya sea de manera personal, telefónica, por medios ópticos o por cualquier otra tecnología, así como por vía electrónica en cualquiera de las páginas de Internet de MSD.

 

  1. RESPONSABILIDAD DE IMPLEMENTACIÓN Y MANTENIMIENTO

Todos los empleados de la compañía son responsables de la aplicación y cumplimiento de esta Política.

  1.  INFORMACIÓN GENERAL

Las preguntas relacionadas con esta política deben dirigirse a privacidad.ecuador@msd.com.