Trasferimento negli Stati Uniti di dati personali dei soggetti interessati europei

1. Impegno di Arthrex per il trasferimento sicuro dei dati personali

Arthrex garantisce che tutti i trasferimenti di dati personali alla nostra organizzazione soddisfano le norme pertinenti di protezione dei dati. Diamo priorità alla protezione dei tuoi dati personali e restiamo impegnati a sostenere gli standard stabiliti dal Quadro in materia di privacy dei dati tra Unione Europea e Stati Uniti.

Nei nostri prodotti, sistemi e processi, Arthrex implementa le tutele necessarie per garantire che qualsiasi trasferimento successivo di dati personali sia protetto con gli standard più elevati.

Per fornirti informazioni sulla protezione dei tuoi dati personali durante tutto il loro percorso, puoi fare riferimento all'Accordo sul trattamento dei dati che firmiamo con te, all'Informativa sulla privacy di Arthrex o all'informativa sulla privacy specifica fornita nel contesto del prodotto e servizio che stai utilizzando.

2. Trasferimento dei dati personali verso gli Stati Uniti

Arthrex è conforme al Quadro in materia di privacy dei dati tra Unione Europea e Stati Uniti (EU-U.S. DPF) e l’Estensione per il Regno Unito dell’EU-U.S. DPF e il Quadro in materia di privacy dei dati tra Svizzera e Stati Uniti (Swiss-U.S. DPF) secondo quanto definito dal Dipartimento del commercio degli Stati Uniti. Arthrex ha certificato al Dipartimento del commercio degli Stati Uniti che aderisce ai principi del Quadro in materia di privacy dei dati tra Unione Europea e Stati Uniti (Principi dell’EU-U.S. DPF) in relazione all’elaborazione dei dati personali ricevuti dall’Unione Europea e dal Regno Unito nel rispetto dell’EU-U.S. DPF e dell’Estensione per il Regno Unito dell’EU-U.S. DPF. Arthrex ha certificato al Dipartimento del commercio degli Stati Uniti che aderisce ai principi del Quadro in materia di privacy dei dati tra Svizzera eStati Uniti (Principi dello Swiss-U.S. DPF) in relazione all’elaborazione dei dati personali ricevuti dalla Svizzera nel rispetto dello Swiss-U.S. DPF. In caso di conflitti tra i termini della presente Informativa sulla privacy e i Principi dell’EU-U.S. DPF e/o i Principi dello Swiss-U.S. DPF, prevarranno i Principi.  Per ulteriori informazioni sul programma del Data PrivacyFramework (DPF) e per visualizzare la nostra certificazione, consultare la pagina https://www.dataprivacyframework.gov/.

Le seguenti entità di Arthrex U.S. o filiali di Arthrex U.S. rispettano i Principi dell’EU-U.S. DPF, incluso quanto applicabile nel rispetto dell’Estensione per il Regno Unito dell’EU-U.S. DPF e dei Principi dello Swiss-U.S. DPF e sono coperte dalla presentazione del DPF di Arthrex:

• Arthrex, Inc., 1370 Creekside Blvd., Naples, Florida 34108, USA
• Arthrex Manufacturing Inc., 6875 Arthrex Commerce Dr., Ave Maria, FL 34142, USA
• Arthrex California Technology, Inc., 460 Ward Drive, Santa Barbara, California 93111, USA

Conformemente all’EU-U.S. DPFe all’Estensione per il Regno Unito dell’EU-U.S. DPF e allo Swiss-U.S. DPF, Arthrex si impegna a riferire reclami non risolti nell’ambito della gestione dei dati personali ricevuti nel rispetto dell’EU-U.S. DPF e dell’Estensione peril Regno Unito dell’EU-U.S. DPF e dello Swiss-U.S. DPF a ICDR-AAA DPF IRM Service, un fornitore alternativo di risoluzione delle controversie operante negli Stati Uniti. Se non ricevi una tempestiva conferma del reclamo relativo ai Principi del DPF da parte nostra o non sei soddisfatto della nostra risposta ai reclami relativi ai Principi del DPF, visita la pagina https://go.adr.org/dpf_irm.html per ulteriori informazioni o per presentare un reclamo. I servizi di ICDR-AAA sono forniti gratuitamente.

Nel rispetto dell’EU-U.S. DPFe dell’Estensione per il Regno Unito dell’EU-U.S. DPF e dello Swiss-U.S. DPF, Arthrex si impegna a risolvere i reclami relativi ai Principi del DPF riguardo alla raccolta e all’utilizzo da parte nostra dei tuoi dati personali. I soggetti residenti in nell’UE, nel Regno Unito e in Svizzera che abbiano delle domande o dei reclami in merito alla nostra gestione dei dati personali ricevuti in forza dell’EU-U.S. DPF, dell’Estensione per il Regno unito dell’EU-U.S. DPF e dello Swiss-U.S. DPF devono prima contattare Arthrex all’indirizzo privacy@arthrex.com.

In merito al trasferimento dei dati personali negli Stati Uniti e alla partecipazione al Data PrivacyFramework (DPF), Arthrex arbitrerà i reclami e si atterrà ai termini delineati nell’Allegato I del DPF (https://www.dataprivacyframework.gov/framework-article/ANNEX-I-introduction).

Arthrex è soggetta ai poteri investigativi ed esecutivi dellaFederal Trade Commission (FTC). Ad Arthrex potrebbe essere richiesto di divulgare i dati personali che gestiamo ai sensi del Quadro in materia di privacy dei dati in risposta a richieste legittime da parte delle autorità pubbliche, anche per soddisfare i requisiti di sicurezza nazionale o di applicazione della legge.

Per informazioni sul tipo o sull’identità di terze parti e sullo scopo per cui Arthrex divulga dati personali, visita il sito https://privacy.arthrex.com/index.html#Sharing-of-Personal-Data. Arthrex è responsabile del trasferimento successivo di dati personali.

Per informazioni sui diritti degli interessati ad accedere ai proprio dati personali e a limitare l’utilizzo e la divulgazione dei dati personali, visitare la pagina https://privacy.arthrex.com/index.html#What-Are-Your-Rights e consultare l’Informativa sulla privacy Arthrex EMEA disponibile alla pagina https://privacy.arthrex.com/our-commitment-to-privacy/european-economic-area-emea.html.

3. Valutazione dell'interesse delle autorità degli Stati Uniti nei trasferimenti di dati personali di Arthrex

Oltre alla decisione di adeguatezza dell'EU–U.S. DPF, abbiamo condotto un'ampia valutazione del rischio dei trasferimenti di dati personali di Arthrex, considerando i seguenti fattori: gli scopi per i quali i dati personali vengono trasferiti e trattati (ad esempio marketing, risorse umane, archiviazione dati, supporto informatico, sperimentazioni cliniche).     

• Le tipologie di soggetti coinvolti nel trattamento (es. pubblico/privato; titolare/responsabile del trattamento).
• Il settore in cui avviene il trasferimento (es. medico, telecomunicazioni, finanziario, ecc.).
• Le categorie di dati personali trasferiti (ad esempio, i dati personali relativi ai bambini possono rientrare nell'ambito di applicazione della legislazione specifica del paese terzo).
• Se i dati personali saranno archiviati nel paese terzo o se vi sarà solo accesso remoto ai dati personali archiviati all'interno del SEE.
• Il formato dei dati personali da trasferire (ad esempio in testo semplice, pseudonimizzato o crittografato).
• La possibilità che i dati personali possano essere soggetti a trasferimenti successivi dal paese terzo verso un altro (o all'interno dello stesso) paese terzo.

Questi fattori e in particolare la natura dei dati personali trasferiti supportano la tesi secondo cui è improbabile che il governo degli Stati Uniti cerchi di acquisire le informazioni trasferite. In quanto azienda di dispositivi medici, Arthrex non è coinvolta in un settore con elevate preoccupazioni per la sicurezza nazionale (ad esempio, appalti per la difesa, supporto della comunità di intelligence, appalti governativi o fornitura di infrastrutture critiche). Invece, le informazioni trasferite dalla società includono in genere dati personali del personale, sicurezza del sistema di dati, credenziali degli utenti per l'apprendimento online, informazioni sull'account e cartelle cliniche che potrebbero contenere dati personali. Queste cartelle cliniche vengono utilizzate principalmente per sviluppare strumenti e piani chirurgici specifici, monitorare il recupero e i progressi del paziente in determinate circostanze post-operatorie e, in casi limitati, per fornire assistenza tecnica per i processi di videoregistrazione chirurgica. Arthrex riceve i dati personali dalla sua consociata nell'UE al fine di supportare le sue attività commerciali di routine, che non sono sensibili in termini di sicurezza nazionale o considerazioni di controspionaggio. I dati personali non vengono trasferiti ad altri paesi dagli Stati Uniti e, quando trasmessi negli Stati Uniti, vengono inviati in formato crittografato o accessibili in remoto in modo sicuro dagli Stati Uniti. Arthrex non ha ricevuto, ed è improbabile che riceva, alcuna richiesta del governo degli Stati Uniti relativa ai dati personali elaborati da Arthrex. Non si può quindi ragionevolmente prevedere che i dati trattati da Arthrex possano presentare un particolare interesse per la sicurezza nazionale.

4. Ulteriori considerazioni

Ove applicabile, Arthrex memorizzerà e tratterà i dati personali dei soggetti interessati europei esclusivamente all'interno dell'Unione Europea. In tali casi, i dati personali non vengono conservati negli Stati Uniti e qualsiasi accesso a tali dati dagli Stati Uniti è basato sul requisito della necessità di conoscere, come soddisfare richieste di assistenza clienti, fornire assistenza specifica in materia di sicurezza o condurre risoluzione dei problemi tecnici.

Il trasferimento dei dati personali negli Stati Uniti viene svolto sulle basi della necessità di sapere/necessità di avere conformemente agli Accordi sul trattamento dei dati che delineano le misure di carattere tecnico e organizzativo che Arthrex ha adottato per proteggere i dati personali dei soggetti interessati europei.

Arthrex riconosce che, in caso di ordine di concedere l'accesso ai dati personali alle autorità statunitensi, Arthrex sarebbe obbligata a informare i clienti, consentendo loro di rescindere il loro accordo con noi e di interrompere i trasferimenti di dati personali alla nostra organizzazione. È importante sottolineare che Arthrex non ha mai dovuto emettere tale notifica e, sulla base della valutazione sopra citata, è altamente improbabile che tale circostanza si verifichi in futuro.

5. Conclusione

Sulla base dell'analisi completa sopra descritta, affermiamo con certezza che il rischio di danni ai soggetti interessati è minimo. Questa conclusione si basa sulle rigorose misure di protezione e salvaguardia implementate da Arthrex, insieme alla probabilità altamente improbabile di richieste di accesso ai dati personali da parte delle autorità statunitensi in relazione ai nostri prodotti e servizi. Pertanto, tenendo conto di questi fattori e in ottemperanza ai relativi obblighi di legge, affermiamo che il rischio di danni ai soggetti interessati è considerato insignificante.

Indipendentemente dall'esposizione a basso rischio relativa al trasferimento dei dati personali dei soggetti interessati europei negli Stati Uniti, Arthrex è pienamente impegnata a mantenere la conformità con i principi e le tutele delineati nel Quadro in materia di privacy dei dati tra Unione Europea e Stati Uniti e in tutte le normative pertinenti, nonché best practice nella protezione dei dati. Sostenendo questi standard, garantiamo il trasferimento sicuro e legale dei dati personali, dimostrando la nostra costante dedizione alla protezione della privacy dei nostri clienti.