Transferencia de datos personales de interesados europeos a EE. UU.

1. Compromiso de Arthrex con la transferencia segura de datos personales

Arthrex garantiza que todas las transferencias de datos personales a nuestra organización son plenamente conformes con la normativa sobre protección de datos aplicable. Priorizamos la protección de sus datos personales y continuamos trabajando para mantener los estándares establecidos en el Marco de privacidad de datos UE-EE. UU.

En nuestros productos, sistemas y procesos, Arthrex implementa las medidas de protección necesarias para garantizar que cualquier transferencia posterior de datos personales esté protegida por los más altos estándares.

Para obtener información sobre la protección de sus datos personales durante todo el proceso, consulte el acuerdo de tratamiento de datos que hemos firmado con usted, el aviso de privacidad de Arthrex o el aviso de privacidad específico que se le ha proporcionado en el contexto del producto o servicio que está utilizando.

2. Transferencia de datos personales a EE. UU.

Arthrex respeta el Marco de Privacidad de Datos UE-EE. UU. (MPD UE-EE. UU.) y la ampliación del Reino Unido al MPD UE-EE. UU. y el Marco de Privacidad de Datos Suiza-EE. UU. (MPD Suiza-EE. UU) establecidos por el Departamento de Comercio de EE. UU. Arthrex ha certificado ante el Departamento de Comercio de EE. UU. que se adhiere a los Principios del Marco de Privacidad de Datos UE-EE. UU (Principios del MPD UE-EE. UU.) en lo referente al tratamiento de datos personales procedentes de la Unión Europea en base al MPD UE-EE. UU. y el Reino Unido en base a la Ampliación del Reino Unido al MPD UE-EE. UU. Arthrex ha certificado ante el Departamento de Comercio de EE. UU. que se adhiere a los Principios del Marco de Privacidad de Datos Suiza-EE. UU (Principios del MPD Suiza-EE. UU.) en lo referente al tratamiento de datos personales procedentes de Suiza en base al MPD Suiza-EE. UU. Si existiera cualquier conflicto entre los términos de esta política de privacidad y los Principios del MPD UE-EE. UU. y/o los Principios del MPD Suiza-EE. UU., prevalecerán los Principios. Para obtener más información sobre el programa del Marco de Privacidad de Datos (MPD) y ver nuestra certificación, visite https://www.dataprivacyframework.gov/.

Las siguientes entidades de Arthrex en EE. UU. o filiales de Arthrex en EE. UU. se adhieren a los Principios MPD de la UE y EE. UU., incluidos los aplicables en virtud de la ampliación del Reino Unido a los Principios del MPD de la UE y EE. UU. y los Principios del MPD de Suiza y EE. UU., y están cubiertas por la presentación del MPD de Arthrex:

• Arthrex, Inc., 1370 Creekside Blvd., Naples, Florida 34108, USA (sede central)
• Arthrex Manufacturing Inc., 6875 Arthrex Commerce Dr., Ave Maria, FL 34142, EE. UU.
• Arthrex California Technology, Inc., 460 Ward Drive, Santa Barbara, California 93111, EE. UU.

En cumplimiento de el MPD UE-EE. UU. y la ampliación del Reino Unido del MPD UE-EE. UU. y el MPD Suiza-EE.UU., Arthrex se compromete a remitir las reclamaciones no resueltas relativas a nuestro tratamiento de datos personales recibidas en virtud del MPD UE-EE. UU. y la ampliación del Reino Unido al MPD UE-EE. UU. y el MPD Suiza-EE. UU. a ICDR-AAA DPF IRM Service, un proveedor alternativo de resolución de conflictos con sede en los Estados Unidos. Si no recibe a tiempo el acuse de recibo de su reclamación relacionada con los Principios del MPD, o si no hemos abordado su reclamación relacionada con los Principios del MPD a su satisfacción, visite https://go.adr.org/dpf_ir m.html para obtener más información o presentar una reclamación. Los servicios de ICDR-AAA se prestan sin coste alguno para usted.

De conformidad con el MPD UE-EE. UU. y la ampliación del Reino Unido al MPD UE-EE. UU. y al MPD Suiza-EE. UU., Arthrex se compromete a resolver las reclamaciones relacionadas con los Principios del MPD sobre nuestra recopilación y uso de sus datos personales. Las personas físicas de la UE y del Reino Unido y las personas físicas de Suiza que tengan consultas o quejas en relación con nuestro tratamiento de datos personales recibidos en virtud del MPD UE-EE. UU. y la ampliación del Reino Unido al MPD UE-EE. UU. y al MPD Suiza-EE. UU. se debern poner primero en contacto con Arthrex en privacy@arthrex.com .

Arthrex sigue siendo responsable en virtud del acuerdo el MPD UE-EE. UU. y la ampliación del Reino Unido al MPD UE-EE. UU. y al MPD Suiza-EE. UU., por los terceros que traten datos personales en nombre de Arthrex de forma contraria a los Principios, a menos que Arthrex demuestre que no es responsable del hecho que ha dado lugar al daño. Para obtener información sobre el tipo o la identificación de terceros y los fines para los que Arthrex revela datos personales, visite https://privacy.arthrex.com/es/nuestro-compromiso-con-la-proteccionde-la-privacidad.

Arthrex está sujeta a los poderes de investigación y ejecución de la Comisión Federal de Comercio (FTC) de EE. UU. Arthrex puede verse obligada a revelar datos personales que estemos gestionando en virtud del Marco de Privacidad de Datos como respuesta a solicitudes legales de los poderes públicos, incluyendo el cumplimiento de los requisitos de seguridad nacional o de aplicación de la ley.

Para obtener información sobre el tipo o la identificación de terceros y los fines para los que Arthrex revela datos personales, visite https://privacy.arthrex.com/es/nuestro-compromiso-con-la-proteccionde-la-privacidad#Intercambio-de-Datos-Personales. Arthrex es responsable de la transferencia ulterior de datos personales.

Para obtener información sobre los derechos de las personas a acceder a sus datos personales y a limitar el uso y la divulgación de los mismos, visite https://privacy.arthrex.com/es/nuestro-compromiso-con-la-proteccionde-la-privacidad#Sus-derechos y el Aviso de privacidad de Arthrex para EMEA en https://privacy.arthrex.com/es/espacio-cconomico-europeo-eee.

3. Opciones

Si los datos personales cubiertos por este Aviso de privacidad van a ser utilizados para un nuevo propósito que es materialmente diferente del que los datos personales fueron originalmente recogidos o posteriormente autorizados, o van a ser revelados a un tercero no agente de una manera no especificada por este Aviso de privacidad, Arthrex le dará la oportunidad de elegir si desea que sus datos personales sean utilizados o revelados. Las solicitudes de exclusión voluntaria de tales usos o divulgaciones de los datos personales deben enviarse a privacy@arthrex.com.

Determinados datos personales, como información sobre afecciones médicas o de salud, origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, son considerados “datos personales sensibles”. Arthrex no utilizará los “datos personales sensibles” para un fin distinto de aquel para el que fueron recogidos originalmente o para el que fueron autorizados posteriormente por el la persona física, a menos que Arthrex haya recibido su consentimiento.

4. Derechos de los interesados

Cualquier persona cuyos Datos Personales hayan sido proporcionados a Arthrex tendrá derecho a obtener confirmación sobre si sus Datos Personales están siendo o no sometidos a tratamiento. En este contexto, una persona tiene derecho a solicitar que Arthrex corrija aquellos Datos Personales que sean inexactos, así como a que complete los Datos Personales incompletos; el derecho a solicitar la supresión de ciertos Datos Personales, como los Datos Personales que ya no son necesarios para fines legítimos; el derecho a solicitar la restricción del tratamiento de ciertos Datos Personales (p. ej., Datos Personales inexactos), y el derecho a la portabilidad de los datos. Toda persona también tiene el derecho de objetar ante determinadas actividades de tratamiento relacionadas con sus Datos Personales. Cualquier persona también tendrá el derecho de interponer una reclamación con una autoridad supervisora, en virtud de las nomas locales sobre privacidad.

Con respecto a los datos personales recibidos o transferidos en virtud del MPD, si su reclamación sobre el MPD no puede resolverse a través de los canales anteriores, en determinadas condiciones, puede invocar un arbitraje vinculante para algunas reclamaciones residuales no resueltas por otros mecanismos de reparación. Con respecto a la transferencia de datos personales a los Estados Unidos y la participación en el MPD, Arthrex arbitrará las reclamaciones y seguirá los términos establecidos en el Anexo I del MPD publicado aquí.

5. Evaluación del interés de las autoridades de Estados Unidos por las transferencias de datos personales de Arthrex

Además de la decisión de adecuación del MPD UE-EE. UU., hemos llevado a cabo una extensa evaluación de riesgos de las transferencias de datos personales de Arthrex, considerando los siguientes factores: La finalidad de la transferencia y el tratamiento de los datos personales (por ejemplo, marketing, recursos humanos, almacenamiento de datos, soporte IT, ensayos clínicos).

• Los tipos de entidades implicadas en el tratamiento de los datos (por ejemplo, públicas/privadas; responsable/encargado del tratamiento).
• El sector en el que se produce la transferencia (por ejemplo, médico, telecomunicaciones, financiero, etc.).
• Las categorías de los datos personales transferidos (por ejemplo, los datos personales relacionados con niños pueden estar dentro del ámbito de una legislación específica del tercer país).
• Si los datos personales se van a almacenar en un tercer país o si solo existe acceso remoto a los datos personales almacenados en el EEE.
• El formato de los datos personales que se van a transferir (por ejemplo, en texto sin formato, seudonimizados o cifrados).
• La posibilidad de que se puedan realizar transferencias posteriores de los datos personales desde el tercer país a otro (o dentro del mismo) tercer país.

Estos factores y, en particular, la naturaleza de los datos personales transferidos respaldan el argumento de que es improbable que el Gobierno estadounidense trate de obtener la información transferida. Como empresa especializada en dispositivos médicos, Arthrex no pertenece a una industria con grandes preocupaciones por la seguridad nacional (por ejemplo, contratos de defensa, asesoramiento en materia de inteligencia, contratos con gobiernos o suministro de infraestructuras críticas). En su lugar, la información transferida por la empresa suele incluir datos personales de empleados, seguridad del sistema de información, credenciales de usuario para aprendizaje en línea e información de cuentas, así como historias clínicas que pueden contener datos personales. Dichas historias clínicas se utilizan principalmente para desarrollar herramientas y planes quirúrgicos específicos, para monitorizar la recuperación y el progreso de los pacientes en determinadas circunstancias posquirúrgicas y, en casos limitados, para proporcionar soporte técnico en intervenciones quirúrgicas con grabación de vídeo. Arthrex recibe datos personales de sus filiales en la UE para respaldar sus esfuerzos comerciales habituales, que no son sensibles en términos de seguridad nacional ni de actividades de contrainteligencia. Los datos personales no se transfieren a otros países desde Estados Unidos y, cuando se transmiten a Estados Unidos, lo hacen en formato cifrado o con acceso remoto seguro desde Estados Unidos. Arthrex no ha recibido, y es improbable que reciba, ninguna solicitud por parte del gobierno estadounidense en relación con los datos personales sometidos a tratamiento por Arthrex. Por tanto, no es razonable esperar que ninguno de los datos personales sometidos a tratamiento por Arthrex sea de particular interés para la seguridad nacional.

6. Consideraciones adicionales

Cuando corresponda, Arthrex almacenará y tratará exclusivamente datos personales de interesados europeos dentro de la Unión Europea. En dichos casos, los datos personales no se conservarán en Estados Unidos, y el acceso a dichos datos desde Estados Unidos se basará en una necesidad de conocimiento, tal como satisfacer las peticiones de soporte técnico, proporcionar asistencia específica en materia de seguridad o resolver problemas técnicos.

La transferencia de datos personales a Estados Unidos se realiza estrictamente sobre la base de una necesidad de conocimiento o necesidad mínima conforme a los Acuerdos de Tratamiento de Datos que describen las medidas técnicas y organizativas que Arthrex aplica para proteger los datos personales de interesados europeos.

Arthrex reconoce que, en caso de recibir una orden de las autoridades estadounidenses para permitir el acceso a datos personales, Arthrex se vería obligada a informar a sus clientes, permitiéndoles rescindir el acuerdo firmado con nosotros y detener las transferencias de datos personales a nuestra organización. Es importante destacar que Arthrex nunca ha tenido que enviar dicha notificación y que, basándonos en la evaluación anteriormente mencionada, es muy improbable que dicha circunstancia se produzca en el futuro.

7. Conclusión

Partiendo del completo análisis descrito anteriormente, afirmamos con total confianza que el riesgo de perjuicio para los interesados es mínimo. Esta conclusión se basa en las rigurosas medidas de protección y garantías implementadas por Arthrex, junto con la muy escasa probabilidad de que las autoridades estadounidenses soliciten acceso a datos personales en relación con nuestros productos y servicios. Por tanto, teniendo en cuenta estos factores y de conformidad con las obligaciones legales aplicables, afirmamos que el riesgo de perjuicio para los interesados se considera insignificante.

Independientemente del bajo riesgo de exposición en relación con la transferencia a EE. UU. de datos personales de interesados europeos, Arthrex se compromete firmemente a mantener la conformidad con los principios y garantías descritos en el Marco de Privacidad de Datos UE-EE. UU. y en todos los reglamentos aplicables, así como a mantener las mejores prácticas en cuanto a protección de datos. Al mantener estos estándares, garantizamos la transferencia segura y legal de los datos personales, demostrando nuestra inquebrantable dedicación a proteger la privacidad de nuestros clientes.