Transferencia de datos personales de interesados europeos a Estados Unidos

  1. Compromiso de Arthrex con la transferencia segura de datos personales

Arthrex garantiza que todas las transferencias de datos personales a nuestra organización son plenamente conformes con la normativa sobre protección de datos aplicable. Priorizamos la protección de sus datos personales y continuamos trabajando para mantener los estándares establecidos en el Marco de Privacidad de Datos UE-EE. UU.

En nuestros productos, sistemas y procesos, Arthrex implementa las medidas de protección necesarias para garantizar que cualquier transferencia posterior de datos personales esté protegida por los más altos estándares.

Para obtener información sobre la protección de sus datos personales durante todo el proceso, consulte el acuerdo de tratamiento de datos que hemos firmado con usted, el aviso de privacidad de Arthrex o el aviso de privacidad específico que se le ha proporcionado en el contexto del producto o servicio que está utilizando.

  1. Transferencia de datos personales a los Estados Unidos

Arthrex respeta el Marco de Privacidad de Datos UE-EE. UU. (MPD UE-EE. UU.) y la Extensión del Reino Unido al MPD UE-EE. UU., y el Marco de Privacidad de Datos Suiza-EE. UU. (MPD Suiza-EE. UU) establecidos por el Departamento de Comercio de EE. UU.  Arthrex ha certificado ante el Departamento de Comercio de EE. UU. que se adhiere a los Principios del Marco de Privacidad de Datos UE-EE. UU. (Principios del MPD UE-EE. UU.) en lo referente al tratamiento de datos personales procedentes de la Unión Europea y del Reino Unido sobre la base del MPD UE-EE. UU. y la Extensión del Reino Unido al MPD UE-EE. UU. Arthrex ha certificado ante el Departamento de Comercio de EE. UU. que se adhiere a los Principios del Marco de Privacidad de Datos Suiza-EE. UU (Principios del MPD Suiza-EE. UU.) en lo referente al tratamiento de datos personales procedentes de Suiza sobre la base del MPD Suiza-EE. UU.  Ante cualquier conflicto que surja entre los términos de esta política de privacidad y los Principios del MPD UE-EE. UU. y/o los Principios del MPD Suiza-EE. UU., prevalecerán los Principios.  Para obtener más información sobre el Programa del Marco de Privacidad de Datos (MPD) y para consultar nuestra certificación, ingrese en  https://www.dataprivacyframework.gov/.

Las siguientes entidades de Arthrex en Estados Unidos o de las filiales de Arthrex en los Estados Unidos adhieren a los Principios del MPD UE-EE. UU., lo que incluye, cuando corresponda, en virtud de la Extensión de Reino Unido, a los Principios del MPD UE-EE. UU. y el MPD Suiza-EE. UU. y están cubiertas por la sujeción de Arthrex al MPD:

  • Arthrex, Inc., 1370 Creekside Blvd., Naples, Florida 34108, EE. UU.
  • Arthrex Manufacturing Inc., 6875 Arthrex Commerce Dr., Ave Maria, FL 34142, EE. UU.
  • Arthrex California Technology, Inc., 460 Ward Drive, Santa Barbara, California 93111, EE. UU.

De conformidad con el MPD UE-EE. UU. y de la Extensión del Reino Unido al MPD UE-EE. UU. y el MPD Suiza-EE. UU., Arthrex se compromete a resolver las quejas no resueltas relacionadas con nuestro manejo de datos personales recibidos en virtud del MPD UE-EE. UU. y la Extensión del Reino Unido al MPD UE-EE. UU. y el MPD Suiza-EE. UU. al Servicio IRM del MPD ICDR-AAA, un proveedor de resolución alternativa de disputas con sede en los Estados Unidos. Si no recibe de nosotros un acuse de recibo oportuno de su queja relacionada con los Principios del MPD, o si no hemos abordado su queja relacionada con los Principios del MPD a su satisfacción, visite https://go.adr.org/dpf_irm.html para obtener más información o presentar una queja.  Los servicios del ICDR-AAA se proporcionan sin costo alguno para usted.

En cumplimiento del MPD UE-EE. UU. y de la Extensión del Reino Unido al MPD UE-EE. UU. y el MPD Suiza-EE. UU., Arthrex se compromete a resolver las quejas vinculadas con los Principios del MPD acerca de la recolección y el uso de datos personales que llevamos a cabo. Aquellas personas que residan en la UE, el Reino Unido y en Suiza que tengan consultas o quejas sobre el manejo que hacemos de los datos personales recibidos en virtud del MPD UE-EE. UU., la Extensión del Reino Unido al MPD UE-EE. UU. y el MPD Suiza-EE. UU. deben contactarse en primera instancia con Arthrex en privacy@arthrex.com.

En cuanto a la transferencia de datos personales a los Estados Unidos y la participación en el Marco de Privacidad de Datos (MPD), Arthrex someterá las reclamaciones a arbitraje y cumplirá con los términos según lo establecido en el Anexo I del MPD (https://www.dataprivacyframework.gov/framework-article/ANNEX-I-introduction).

Arthrex está sujeta a los poderes de investigación y ejecución de la Comisión Federal de Comercio (FTC). Arthrex puede verse obligada a revelar datos personales que estemos gestionando en virtud del Marco de Privacidad de Datos como respuesta a solicitudes legales de los poderes públicos, incluyendo el cumplimiento de los requisitos de seguridad nacional o de aplicación de la ley.

Para obtener información sobre el tipo o la identidad de terceros y los fines para los cuales Arthrex divulga datos personales, visite https://privacy.arthrex.com/index.html#Sharing-of-Personal-Data. Arthrex es responsable de la transferencia posterior de datos personales.

Para obtener información sobre los derechos de las personas a acceder a sus datos personales y limitar el uso y la divulgación de datos personales, visite https://privacy.arthrex.com/index.html#What-Are-Your-Rights y el Aviso de privacidad en la región EMEA de Arthrex en https://privacy.arthrex.com/our-commitment-to-privacy/european-economic-area-emea.html.

  1. Evaluación del interés de las autoridades de Estados Unidos por las transferencias de datos personales de Arthrex

Además de la decisión de adecuación del MPD UE-EE. UU., hemos llevado a cabo una extensa evaluación de riesgos de las transferencias de datos personales de Arthrex, considerando los siguientes factores: a finalidad de la transferencia y el tratamiento de los datos personales (por ejemplo, marketing, recursos humanos, almacenamiento de datos, soporte IT, ensayos clínicos).    

  • Los tipos de entidades implicadas en el tratamiento de los datos (por ejemplo, públicas/privadas; responsable/encargado del tratamiento).
  • El sector en el que se produce la transferencia (por ejemplo, médico, telecomunicaciones, financiero, etc.).
  • Las categorías de los datos personales transferidos (por ejemplo, los datos personales relacionados con niños pueden estar dentro del ámbito de una legislación específica del tercer país).
  • Si los datos personales se van a almacenar en un tercer país o si solo existe acceso remoto a los datos personales almacenados en el EEE.
  • El formato de los datos personales que se van a transferir (por ejemplo, en texto sin formato, seudonimizados o cifrados).
  • La posibilidad de que se puedan realizar transferencias posteriores de los datos personales desde el tercer país a otro (o dentro del mismo) tercer país.

Estos factores y, en particular, la naturaleza de los datos personales transferidos respaldan el argumento de que es improbable que el Gobierno estadounidense trate de obtener la información transferida. Como empresa especializada en dispositivos médicos, Arthrex no pertenece a una industria con grandes preocupaciones por la seguridad nacional (por ejemplo, contratos de defensa, asesoramiento en materia de inteligencia, contratos con gobiernos o suministro de infraestructuras críticas). En su lugar, la información transferida por la empresa suele incluir datos personales de empleados, seguridad del sistema de información, credenciales de usuario para aprendizaje en línea e información de cuentas, así como historias clínicas que pueden contener datos personales. Dichas historias clínicas se utilizan principalmente para desarrollar herramientas y planes quirúrgicos específicos, para monitorizar la recuperación y el progreso de los pacientes en determinadas circunstancias posquirúrgicas y, en casos limitados, para proporcionar soporte técnico en intervenciones quirúrgicas con grabación de vídeo. Arthrex recibe datos personales de sus filiales en la UE para respaldar sus esfuerzos comerciales habituales, que no son sensibles en términos de seguridad nacional ni de actividades de contrainteligencia. Los datos personales no se transfieren a otros países desde Estados Unidos y, cuando se transmiten a Estados Unidos, lo hacen en formato cifrado o con acceso remoto seguro desde Estados Unidos. Arthrex no ha recibido, y es improbable que reciba, ninguna solicitud por parte del gobierno estadounidense en relación con los datos personales sometidos a tratamiento por Arthrex. Por tanto, no es razonable esperar que ninguno de los datos personales sometidos a tratamiento por Arthrex sea de particular interés para la seguridad nacional.

  1. Consideraciones adicionales

Cuando corresponda, Arthrex almacenará y tratará exclusivamente datos personales de interesados europeos dentro de la Unión Europea. En dichos casos, los datos personales no se conservarán en Estados Unidos, y el acceso a dichos datos desde Estados Unidos se basará en una necesidad de conocimiento, tal como satisfacer las peticiones de soporte técnico, proporcionar asistencia específica en materia de seguridad o resolver problemas técnicos.

La transferencia de datos personales a EE. UU. se realiza estrictamente sobre la base de una necesidad de conocimiento o necesidad mínima conforme a los Acuerdos de Tratamiento de Datos que describen las medidas técnicas y organizativas que Arthrex aplica para proteger los datos personales de interesados europeos.

Arthrex reconoce que, en caso de recibir una orden de las autoridades estadounidenses para permitir el acceso a datos personales, Arthrex se vería obligada a informar a sus clientes, permitiéndoles rescindir el acuerdo firmado con nosotros y detener las transferencias de datos personales a nuestra organización. Es importante destacar que Arthrex nunca ha tenido que enviar dicha notificación y que, basándonos en la evaluación anteriormente mencionada, es muy improbable que dicha circunstancia se produzca en el futuro.

  1. Conclusión

Partiendo del completo análisis descrito anteriormente, afirmamos con total confianza que el riesgo de perjuicio para los interesados es mínimo. Esta conclusión se basa en las rigurosas medidas de protección y garantías implementadas por Arthrex, junto con la muy escasa probabilidad de que las autoridades estadounidenses soliciten acceso a datos personales en relación con nuestros productos y servicios. Por tanto, teniendo en cuenta estos factores y de conformidad con las obligaciones legales aplicables, afirmamos que el riesgo de perjuicio para los interesados se considera insignificante.

Independientemente del bajo riesgo de exposición en relación con la transferencia a EE. UU. de datos personales de interesados europeos, Arthrex se compromete firmemente a mantener la conformidad con los principios y garantías descritos en el Marco de Privacidad de Datos UE-EE. UU. y en todos los reglamentos aplicables, así como a mantener las mejores prácticas en cuanto a protección de datos. Al mantener estos estándares, garantizamos la transferencia segura y legal de los datos personales, demostrando nuestra inquebrantable dedicación a proteger la privacidad de nuestros clientes.