Trasferimento negli Stati Uniti di dati personali dei soggetti interessati europei

1. Impegno di Arthrex per il trasferimento sicuro di dati personali

Arthrex garantisce che tutti i trasferimenti di dati personali alla nostra organizzazione soddisfano le norme pertinenti di protezione dei dati. Diamo priorità alla protezione dei tuoi dati personali e restiamo impegnati a sostenere gli standard stabiliti dal Quadro in materia di protezione dei dati tra Unione Europea e Stati Uniti.

Nei nostri prodotti, sistemi e processi, Arthrex implementa le tutele necessarie per garantire che qualsiasi trasferimento successivo di dati personali sia protetto con gli standard più elevati.

Per fornirti informazioni sulla protezione dei tuoi dati personali durante tutto il loro percorso, puoi fare riferimento all'Accordo sul trattamento dei dati che firmiamo con te, all'Informativa sulla protezione dei dati personali di Arthrex o all'informativa sulla protezione dei dati personali specifica fornita nel contesto del prodotto e servizio che stai utilizzando.

2. Trasferimento negli Stati Uniti di dati personali

Arthrex rispetta il Quadro in materia di protezione dei dati tra Unione Europea e Stati Uniti (EU-U.S. DPF), l'Estensione per il Regno Unito dell'EU-U.S. DPF e il Quadro in materia di protezione dei dati tra Svizzera e Stati Uniti (Swiss-U.S. DPF) secondo quanto definito dal Dipartimento del commercio degli Stati Uniti. Arthrex ha dichiarato al Dipartimento del commercio degli Stati Uniti che aderisce ai principi del Quadro in materia di protezione dei dati tra Unione Europea e Stati Uniti (Principi dell'EU-U.S. DPF) in relazione all'elaborazione dei dati personali ricevuti dall'Unione Europea e dal Regno Unito in dipendenza dall'EU-U.S. DPF e dall'Estensione per il Regno Unito all'EU-U.S. DPF. Arthrex ha dichiarato al Dipartimento del commercio degli Stati Uniti che aderisce ai principi del Quadro in materia di protezione dei dati tra Svizzera e Stati Uniti (Principi dello Swiss-U.S. DPF) in relazione all'elaborazione dei dati personali ricevuti dalla Svizzera in dipendenza dallo Swiss-U.S. DPF. Qualora vi sia un conflitto tra i termini inclusi in questa informativa sulla protezione dei dati personali e i principi dell'EU-U.S. DPF e/o i principi dello Swiss-U.S. DPF, prevarranno i principi. Per ulteriori informazioni sul programma del Quadro in materia di protezione dei dati (DPF) e per visualizzare la nostra dichiarazione, visita il sito https://www.dataprivacyframework.gov/.

Le seguenti entità Arthrex U.S. o sussidiarie Arthrex U.S. aderiscono ai principi dell'EU-U.S. DPF, anche per quanto applicabile ai sensi dell'Estensione per il Regno Unito dell'EU-U.S. DPF e dei principi dello Swiss-U.S. DPF e sono coperte dalla presentazione del DPF di Arthrex:

• Arthrex, Inc., 1370 Creekside Blvd., Naples, Florida 34108, USA (sede centrale globale)
• Arthrex Manufacturing Inc., 6875 Arthrex Commerce Dr., Ave Maria, FL 34142, USA
• Arthrex California Technology, Inc., 460 Ward Drive, Santa Barbara, California 93111, USA

In conformità con l'EU-U.S. DPF, l'Estensione per il Regno Unito dell'EU-U.S. DPF e lo Swiss-U.S. DPF, Arthrex si impegna a segnalare i reclami irrisolti riguardanti la nostra gestione dei dati personali ricevuti in dipendenza dall'EU-U.S. DPF, dall'Estensione per il Regno Unito dell'EU-U.S. DPF e dallo Swiss U.S. DPF al ICDR-AAA DPF IRM Service, un fornitore di servizi di risoluzione alternativa delle controversie con sede negli Stati Uniti. Se non ricevi da parte nostra una tempestiva risposta al tuo reclamo relativo ai Principi DPF o se non abbiamo gestito il tuo reclamo relativo ai Principi DPF in modo soddisfacente, visita il sito https://go.adr.org/dpf_irm.html per maggiori informazioni o per fare reclamo. I servizi dell'ICDR-AAA sono forniti gratuitamente.

Conformemente all'EU-U.S. DPF, all'Estensione per il Regno Unito dell'EU-U.S. DPF e allo Swiss-U.S. DPF, Arthrex si impegna a risolvere i reclami relativi ai principi DPF in merito alla raccolta e all'utilizzo da parte nostra dei tuoi dati personali. Soggetti dell'UE e del Regno Unito e soggetti svizzeri con richieste o reclami riguardanti la gestione da parte nostra dei dati personali ricevuti in dipendenza dall'EU-U.S. DPF, dall'Estensione per il Regno Unito dell'EU-U.S. DPF e dallo Swiss-U.S. DPF devono prima contattare Arthrex all'indirizzo privacy@arthrex.com.

Arthrex rimane responsabile ai sensi dei principi dell'EU-U.S. DPF, dell'Estensione per il Regno Unito dell'EU-U.S. DPF e/o dei principi dello Swiss U.S. DPF per i terzi incaricati che elaboreranno dati personali per conto di Arthrex in modo non conforme ai principi, a meno che Arthrex non dimostri di non essere responsabile dell'evento che ha causato il danno. Per informazioni sulla tipologia o sull'identità di terzi e sulle finalità per cui Arthrex divulga i dati personali, visita il sito https://privacy.arthrex.com/it/il-nostro-impegno-per-la-privacy.

Arthrex è soggetta ai poteri investigativi ed esecutivi della Federal Trade Commission (FTC). Ad Arthrex potrebbe essere richiesto di divulgare i dati personali che gestiamo ai sensi del Quadro in materia di protezione dei dati in risposta a richieste legittime da parte delle autorità pubbliche, anche per soddisfare i requisiti di sicurezza nazionale o di applicazione della legge.

Per informazioni sulla tipologia o sull'identità di terzi e sulle finalità per cui Arthrex divulga i dati personali, visita il sito https://privacy.arthrex.com/it/il-nostro-impegno-per-la-privacy#Condivisione-dei-dati-personali. Arthrex è responsabile del trasferimento successivo dei dati personali.

Per informazioni sui diritti degli individui di accedere ai propri dati personali e di limitare l'uso e la divulgazione dei dati personali, visita il sito https://privacy.arthrex.com/it/il-nostro-impegno-per-la-privacy#Quali-sono-i-tuoi-diritti e l'Informativa sulla protezione dei dati personali di Arthrex EMEA sul sito https://privacy.arthrex.com/it/spazio-economico-europeo-emea.

3. Scelte

Se i dati personali coperti dalla presente Informativa sulla protezione dei dati personali dovessero essere utilizzati per uno scopo nuovo sostanzialmente diverso da quello per cui erano stati originariamente raccolti o successivamente autorizzati o se dovessero essere divulgati a una terza parte non agente in un modo non specificato dalla presente Informativa sulla protezione dei dati personali, Arthrex ti offrirà l'opportunità di scegliere se consentire l'utilizzo o la divulgazione dei tuoi dati personali. Le richieste di rinuncia a tali usi o divulgazioni di dati personali devono essere inviate all'indirizzo privacy@arthrex.com.

Alcuni dati personali, come le informazioni su condizioni mediche o di salute, origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, sono considerati "dati personali sensibili". Arthrex non utilizzerà i "dati personali sensibili" per uno scopo diverso da quello per cui sono stati originariamente raccolti o successivamente autorizzati dall'individuo, a meno che Arthrex non abbia ricevuto il tuo consenso.

4. Diritti dei soggetti dei dati

Qualunque persona fisica i cui Dati personali sono stati forniti ad Arthrex ha il diritto di ricevere la conferma che i suoi Dati personali siano oggetto di trattamento. In tale contesto, la persona fisica ha il diritto di richiedere che Arthrex corregga Dati personali inesatti e/o completi i Dati personali incompleti; ha il diritto di richiedere la cancellazione di determinati Dati personali, ad esempio quelli non più necessari per finalità legittime; ha il diritto di richiedere la limitazione del trattamento di determinati Dati personali (ad es. dati inesatti); ha il diritto alla portabilità dei dati. La persona fisica ha altresì il diritto di opporsi a determinate operazioni di trattamento dei propri Dati personali. Ai sensi dei regolamenti locali sulla protezione dei dati personali, la persona fisica ha il diritto di proporre reclamo all'autorità di controllo.

Per quanto riguarda i dati personali ricevuti o trasferiti ai sensi del DPF, se il tuo reclamo DPF non può essere risolto tramite i canali sopra indicati, in determinate condizioni puoi ricorrere a un arbitrato vincolante per alcune rivendicazioni residue non risolte da altri meccanismi di ricorso. Per quanto riguarda il trasferimento dei dati personali negli Stati Uniti e la partecipazione al DPF, Arthrex arbitrerà i reclami e seguirà i termini stabiliti nell'Allegato I del DPF disponibile qui.

5. Valutazione dell'interesse delle autorità degli Stati Uniti nei trasferimenti di dati personali di Arthrex

Oltre alla decisione di adeguatezza dell'EU–U.S. DPF, abbiamo condotto un'ampia valutazione del rischio dei trasferimenti di dati personali di Arthrex, considerando i seguenti fattori: gli scopi per i quali i dati personali vengono trasferiti e trattati (ad es. marketing, risorse umane, archiviazione dati, supporto informatico, sperimentazioni cliniche).

• Le tipologie di soggetti coinvolti nel trattamento (ad es. pubblico/privato; titolare/responsabile del trattamento).
• Il settore in cui avviene il trasferimento (ad es. medico, telecomunicazioni, finanziario, ecc.).
• Le categorie di dati personali trasferiti (ad es. i dati personali relativi ai bambini possono rientrare nell'ambito di applicazione della legislazione specifica del paese terzo).
• Se i dati personali saranno archiviati nel paese terzo o se vi sarà solo accesso remoto ai dati personali archiviati all'interno del SEE.
• Il formato dei dati personali da trasferire (ad es. in testo semplice, pseudonimizzato o crittografato).
• La possibilità che i dati personali possano essere soggetti a trasferimenti successivi dal paese terzo verso un altro (o all'interno dello stesso) paese terzo.

Questi fattori e in particolare la natura dei dati personali trasferiti supportano la tesi secondo cui è improbabile che il governo degli Stati Uniti cerchi di acquisire le informazioni trasferite. In quanto azienda di dispositivi medici, Arthrex non è coinvolta in un settore con elevate preoccupazioni per la sicurezza nazionale (ad es. appalti per la difesa, supporto della comunità di intelligence, appalti governativi o fornitura di infrastrutture critiche). Invece, le informazioni trasferite dalla società includono in genere dati personali del personale, sicurezza del sistema di dati, credenziali degli utenti per l'apprendimento online, informazioni sull'account e cartelle cliniche che potrebbero contenere dati personali. Queste cartelle cliniche vengono utilizzate principalmente per sviluppare strumenti e piani chirurgici specifici, monitorare il recupero e i progressi del paziente in determinate circostanze post-operatorie e, in casi limitati, per fornire assistenza tecnica per i processi di videoregistrazione chirurgica. Arthrex riceve i dati personali dalla sua consociata nell'UE al fine di supportare le sue attività commerciali di routine, che non sono sensibili in termini di sicurezza nazionale o considerazioni di controspionaggio. I dati personali non vengono trasferiti ad altri paesi dagli Stati Uniti e, quando trasmessi negli Stati Uniti, vengono inviati in formato crittografato o accessibili in remoto in modo sicuro dagli Stati Uniti. Arthrex non ha ricevuto, ed è improbabile che riceva, alcuna richiesta del governo degli Stati Uniti relativa ai dati personali elaborati da Arthrex. Non si può quindi ragionevolmente prevedere che i dati trattati da Arthrex possano presentare un particolare interesse per la sicurezza nazionale.

6. Ulteriori considerazioni

Ove applicabile, Arthrex memorizzerà e tratterà i dati personali dei soggetti interessati europei esclusivamente all'interno dell'Unione Europea. In tali casi, i dati personali non vengono conservati negli Stati Uniti e qualsiasi accesso a tali dati dagli Stati Uniti è basato sul requisito della necessità di conoscere, come soddisfare richieste di assistenza clienti, fornire assistenza specifica in materia di sicurezza o condurre risoluzione dei problemi tecnici.

Il trasferimento dei dati personali negli Stati Uniti viene svolto sulle basi della necessità di sapere/necessità di avere conformemente agli Accordi sul trattamento dei dati che delineano le misure di carattere tecnico e organizzativo che Arthrex ha adottato per proteggere i dati personali dei soggetti interessati europei.

Arthrex riconosce che, in caso di ordine di concedere l'accesso ai dati personali alle autorità statunitensi, Arthrex sarebbe obbligata a informare i clienti, consentendo loro di rescindere il loro accordo con noi e di interrompere i trasferimenti di dati personali alla nostra organizzazione. È importante sottolineare che Arthrex non ha mai dovuto emettere tale notifica e, sulla base della valutazione sopra citata, è altamente improbabile che tale circostanza si verifichi in futuro.

7. Conclusione

Sulla base dell'analisi completa sopra descritta, affermiamo con certezza che il rischio di danni ai soggetti interessati è minimo. Questa conclusione si basa sulle rigorose misure di protezione e salvaguardia implementate da Arthrex, insieme alla probabilità altamente improbabile di richieste di accesso ai dati personali da parte delle autorità statunitensi in relazione ai nostri prodotti e servizi. Pertanto, considerando questi fattori e in ottemperanza ai relativi obblighi di legge, affermiamo che il rischio di danni ai soggetti interessati è considerato insignificante.

Indipendentemente dall'esposizione a basso rischio relativa al trasferimento dei dati personali dei soggetti interessati europei negli Stati Uniti, Arthrex è pienamente impegnata a mantenere la conformità con i principi e le tutele delineati nel Quadro in materia di protezione dei dati tra Unione Europea e Stati Uniti e in tutte le normative pertinenti, nonché best practice nella protezione normativa dei dati. Sostenendo questi standard, garantiamo il trasferimento sicuro e legale dei dati personali, dimostrando la nostra costante dedizione alla protezione dei dati personali dei nostri clienti.