Dichiarazione relativa al trasferimento negli Stati Uniti di dati personali dei soggetti interessati europei

 

1. Impegno di Arthrex per il trasferimento sicuro dei dati

 

Arthrex garantisce che tutti i trasferimenti di dati personali alla nostra organizzazione soddisfano le norme pertinenti di protezione dei dati. Diamo priorità alla protezione dei tuoi dati personali e restiamo impegnati a sostenere gli standard stabiliti dal Quadro in materia di privacy dei dati tra Unione Europea e Stati Uniti.

Nei nostri prodotti, sistemi e processi, Arthrex implementa le tutele necessarie per garantire che qualsiasi trasferimento successivo di dati personali sia protetto con gli standard più elevati.

Per fornirti informazioni sulla protezione dei tuoi dati personali durante tutto il loro percorso, puoi fare riferimento all'Accordo sul trattamento dei dati che firmiamo con te, all'Informativa sulla privacy di Arthrex o all'informativa sulla privacy specifica fornita nel contesto del prodotto e servizio che stai utilizzando.

 

2. Garanzia di flussi di dati transatlantici sicuri con il Quadro in materia di privacy dei dati tra Unione Europea e Stati Uniti

 

Arthrex rispetta il Quadro in materia di privacy dei dati tra Unione Europea e Stati Uniti (EU-U.S. DPF), l'Estensione per il Regno Unito dell'EU-U.S. DPF e il Quadro in materia di privacy dei dati tra Svizzera e Stati Uniti (Swiss-U.S. DPF) secondo quanto definito dal Dipartimento del commercio degli Stati Uniti. Arthrex ha dichiarato al Dipartimento del commercio degli Stati Uniti che aderisce ai principi del Quadro in materia di privacy dei dati tra Unione Europea e Stati Uniti (Principi dell'EU-U.S. DPF) in relazione all'elaborazione dei dati personali ricevuti dall'Unione Europea in dipendenza dall'EU-U.S. DPF e dal Regno Unito (e Gibilterra) in dipendenza dall'Estensione per il Regno Unito all'EU-U.S. DPF. Arthrex ha dichiarato al Dipartimento del commercio degli Stati Uniti che aderisce ai principi del Quadro in materia di privacy dei dati tra Svizzera e Stati Uniti (Principi dello Swiss-U.S. DPF) in relazione all'elaborazione dei dati personali ricevuti dalla Svizzera in dipendenza dallo Swiss-U.S. DPF. Qualora vi sia un conflitto tra i termini inclusi in questa informativa sulla privacy e i principi dell'EU-U.S. DPF e/o i principi dello Swiss-U.S. DPF, prevarranno i principi. Per visualizzare la nostra dichiarazione, visita il sito https://www.dataprivacyframework.gov/.

In caso di domande o reclami sulla gestione da parte di Arthrex delle tue informazioni personali ai sensi del Quadro in materia di privacy dei dati o sulle nostre pratiche sulla privacy in generale, puoi contattarci all'indirizzo: privacy@arthrex.com. Risponderemo tempestivamente alla tua richiesta. Se hai un problema irrisolto sulla privacy o sull'utilizzo dei dati che non abbiamo affrontato in modo soddisfacente, contatta il nostro fornitore di servizi di risoluzione delle controversie di terze parti con sede negli Stati Uniti (gratuitamente) all'indirizzo https://www.adr.org/. Se né Arthrex né il nostro fornitore di risoluzione delle controversie di terze parti risolvono il tuo reclamo, puoi ricorrere ad un arbitrato vincolante attraverso il Comitato del Quadro in materia di privacy dei dati. Per ulteriori informazioni sul Comitato del Quadro in materia di privacy dei dati, visita qui.

Puoi riesaminare la registrazione del Quadro in materia di privacy dei dati qui. Arthrex è soggetta ai poteri investigativi ed esecutivi della Federal Trade Commission (FTC). Ad Arthrex potrebbe essere richiesto di divulgare le informazioni personali che gestiamo ai sensi del Quadro in materia di privacy dei dati in risposta a richieste legittime da parte delle autorità pubbliche, anche per soddisfare i requisiti di sicurezza nazionale o di applicazione della legge.

 

3. Valutazione dell'interesse delle autorità degli Stati Uniti nei trasferimenti di dati personali di Arthrex

Oltre alla decisione di adeguatezza dell'EU–U.S. DPF, abbiamo condotto un'ampia valutazione del rischio dei trasferimenti di dati personali di Arthrex, considerando i seguenti fattori: gli scopi per i quali i dati personali vengono trasferiti e trattati (ad esempio marketing, risorse umane, archiviazione dati, supporto informatico, sperimentazioni cliniche).     

• Le tipologie di soggetti coinvolti nel trattamento (es. pubblico/privato; titolare/responsabile del trattamento).
• Il settore in cui avviene il trasferimento (es. medico, telecomunicazioni, finanziario, ecc.).
• Le categorie di dati personali trasferiti (ad esempio, i dati personali relativi ai bambini possono rientrare nell'ambito di applicazione della legislazione specifica del paese terzo).
• Se i dati personali saranno archiviati nel paese terzo o se vi sarà solo accesso remoto ai dati personali archiviati all'interno del SEE.
• Il formato dei dati personali da trasferire (ad esempio in testo semplice, pseudonimizzato o crittografato).
• La possibilità che i dati personali possano essere soggetti a trasferimenti successivi dal paese terzo verso un altro (o all'interno dello stesso) paese terzo.

Questi fattori e in particolare la natura dei dati personali trasferiti supportano la tesi secondo cui è improbabile che il governo degli Stati Uniti cerchi di acquisire le informazioni trasferite. In quanto azienda di dispositivi medici, Arthrex non è coinvolta in un settore con elevate preoccupazioni per la sicurezza nazionale (ad esempio, appalti per la difesa, supporto della comunità di intelligence, appalti governativi o fornitura di infrastrutture critiche). Invece, le informazioni trasferite dalla società includono in genere dati personali del personale, sicurezza del sistema di dati, credenziali degli utenti per l'apprendimento online, informazioni sull'account e cartelle cliniche che potrebbero contenere dati personali. Queste cartelle cliniche vengono utilizzate principalmente per sviluppare strumenti e piani chirurgici specifici, monitorare il recupero e i progressi del paziente in determinate circostanze post-operatorie e, in casi limitati, per fornire assistenza tecnica per i processi di videoregistrazione chirurgica. Arthrex riceve i dati personali dalla sua consociata nell'UE al fine di supportare le sue attività commerciali di routine, che non sono sensibili in termini di sicurezza nazionale o considerazioni di controspionaggio. I dati personali non vengono trasferiti ad altri paesi dagli Stati Uniti e, quando trasmessi negli Stati Uniti, vengono inviati in formato crittografato o accessibili in remoto in modo sicuro dagli Stati Uniti. Arthrex non ha ricevuto, ed è improbabile che riceva, alcuna richiesta del governo degli Stati Uniti relativa ai dati personali elaborati da Arthrex. Non si può quindi ragionevolmente prevedere che i dati trattati da Arthrex possano presentare un particolare interesse per la sicurezza nazionale.

 

4. Misure integrative

Arthrex ha implementato misure aggiuntive tese a garantire un'adeguata protezione dei dati personali, anche nei casi in cui il regime giuridico del paese di destinazione presenta un rischio materiale basso o nullo. Tali misure integrative sono classificate in tre categorie: (i) tutele contrattuali, (ii) tutele organizzative e (iii) tutele tecniche.

 

    a) Contrattuali

Come spiegato sopra, Arthrex stipulerà un accordo contrattuale che definirà le garanzie per il trasferimento dei dati personali negli Stati Uniti.

Quando il trattamento dei dati personali dei soggetti interessati europei è imposto da un contratto, Arthrex:

   (i) accetterà di essere direttamente vincolata dagli Accordi sul trattamento dei dati che delineano le misure di carattere tecnico e organizzativo che Arthrex ha adottato per proteggere i dati personali dei soggetti interessati europei;

   (ii) stipulerà clausole contrattuali standard (SCC) adeguate da responsabile del trattamento a responsabile del trattamento con ciascun sub-responsabile del trattamento situato in un paese terzo senza protezione adeguata, laddove il sub-trattamento comporta trasferimenti successivi verso un paese terzo.

 

    b) Organizzative

Le preoccupazioni sollevate dalla CJEU in merito al trasferimento di dati personali negli Stati Uniti riguardavano principalmente le pratiche di raccolta dati del governo degli Stati Uniti, come delineato nell'Ordine esecutivo statunitense 12333 ("EO 12333") e nella Sezione 702 del Foreign Intelligence Surveillance Act ("FISA § 702"), in particolare per quanto riguarda la sorveglianza "a monte" ai sensi del FISA § 702. Comunque, i rischi associati a queste specifiche disposizioni legali non si applicano al trattamento dei dati personali da parte di Arthrex o possono essere efficacemente mitigati implementando adeguate tutele organizzative offerte da Arthrex. Arthrex intende inoltre utilizzare i meccanismi legali disponibili per contestare le richieste di accesso ai dati personali da parte delle autorità statunitensi.

È importante sottolineare che Arthrex non assiste né può essere obbligata ad assistere le autorità statunitensi nei loro sforzi di raccolta di informazioni ai sensi dell'Ordine esecutivo 12333. Arthrex non si impegna né fornirà alcuna forma di assistenza alle autorità statunitensi impegnate in attività di sorveglianza ai sensi dell'EO 12333. L'EO 12333 non conferisce al governo degli Stati Uniti il potere di obbligare le aziende a fornire assistenza in tali attività e Arthrex non si impegnerà in una cooperazione volontaria. Di conseguenza, Arthrex non partecipa e non può essere costretta a intraprendere alcuna azione che faciliti il tipo di sorveglianza di massa ai sensi dell'EO 12333 ritenuta problematica.

Arthrex non è idonea a ricevere ordini di sorveglianza "upstream" o di massa ai sensi del FISA § 702, poiché non fornisce i servizi pertinenti. L'interpretazione e l'applicazione del FISA § 702 da parte del governo degli Stati Uniti confermano l'inidoneità di Arthrex per l'ordine specifico. È altamente improbabile che i dati personali trattati dei clienti di Arthrex siano rilevanti per le attività di intelligence straniera disciplinate dal FISA § 702. Se tali dati fossero rilevanti, il governo probabilmente perseguirebbe vie legali alternative, come ottenere un mandato di perquisizione, poiché è un processo più rapido e semplice rispetto all'emissione di direttive ai sensi del FISA § 702.

 

    c) Tecniche

Arthrex implementa misure tecniche che mitigano con successo le preoccupazioni principali, vale a dire la sorveglianza di massa ai sensi del FISA § 702 e le intercettazioni di massa ai sensi dell'EO 12333.

Arthrex crittografa tutti i dati personali archiviati nel nostro sistema e in transito con una crittografia conforme ai requisiti all'avanguardia del GDPR. Le misure di crittografia implementate da Arthrex hanno lo scopo di impedire l'accesso non autorizzato ai dati personali in formato intelligibile e di proteggere da intercettazioni non autorizzate o manomissioni durante la trasmissione di dati personali tra due endpoint.

Arthrex applica rigorosi protocolli amministrativi, tecnici e fisici per salvaguardare i dati personali archiviati sui suoi server. L'accesso ai dati personali è limitato attraverso l'uso di credenziali di accesso, limitato esclusivamente ai dipendenti che necessitano di tale accesso per svolgere le proprie responsabilità lavorative. Arthrex utilizza controlli di accesso come autenticazione a più fattori, accesso limitato agli account amministrativi, Single Sign On, principio del privilegio minimo e solidi controlli delle password. Inoltre, Arthrex implementa metodi di minimizzazione dei dati per limitare il trasferimento di dati personali dall'UE alle giurisdizioni di paesi terzi. Ciò può comportare la pseudonimizzazione o la deidentificazione dei dati personali, quando appropriato.

 

5. Ulteriori considerazioni

Ove applicabile, Arthrex memorizzerà e tratterà i dati personali dei soggetti interessati europei esclusivamente all'interno dell'Unione Europea. In tali casi, i dati personali non vengono conservati negli Stati Uniti e qualsiasi accesso a tali dati dagli Stati Uniti è basato sul requisito della necessità di conoscere, come soddisfare richieste di assistenza clienti, fornire assistenza specifica in materia di sicurezza o condurre risoluzione dei problemi tecnici.

Il trasferimento dei dati personali negli Stati Uniti viene svolto sulle basi della necessità di sapere/necessità di avere conformemente agli Accordi sul trattamento dei dati che delineano le misure di carattere tecnico e organizzativo che Arthrex ha adottato per proteggere i dati personali dei soggetti interessati europei.

Arthrex riconosce che, in caso di ordine di concedere l'accesso ai dati personali alle autorità statunitensi, Arthrex sarebbe obbligata a informare i clienti, consentendo loro di rescindere il loro accordo con noi e di interrompere i trasferimenti di dati personali alla nostra organizzazione. È importante sottolineare che Arthrex non ha mai dovuto emettere tale notifica e, sulla base della valutazione sopra citata, è altamente improbabile che tale circostanza si verifichi in futuro.

 

6. Conclusione

Sulla base dell'analisi completa sopra descritta, affermiamo con certezza che il rischio di danni ai soggetti interessati è minimo. Questa conclusione si basa sulle rigorose misure di protezione e salvaguardia implementate da Arthrex, insieme alla probabilità altamente improbabile di richieste di accesso ai dati personali da parte delle autorità statunitensi in relazione ai nostri prodotti e servizi. Pertanto, tenendo conto di questi fattori e in ottemperanza ai relativi obblighi di legge, affermiamo che il rischio di danni ai soggetti interessati è considerato insignificante.

Indipendentemente dall'esposizione a basso rischio relativa al trasferimento dei dati personali dei soggetti interessati europei negli Stati Uniti, Arthrex è pienamente impegnata a mantenere la conformità con i principi e le tutele delineati nel Quadro in materia di privacy dei dati tra Unione Europea e Stati Uniti e in tutte le normative pertinenti, nonché best practice nella protezione dei dati. Sostenendo questi standard, garantiamo il trasferimento sicuro e legale dei dati personali, dimostrando la nostra costante dedizione alla protezione della privacy dei nostri clienti.