Transferência de dados pessoais de titulares de dados europeus para os Estados Unidos

  1. Compromisso da Arthrex com as transferências seguras de dados pessoais

A Arthrex assegura que todas as transferências de dados pessoais para a nossa organização cumprem integralmente os regulamentos relevantes de proteção de dados. Damos prioridade à proteção dos seus dados pessoais e continuamos dedicados ao cumprimento dos padrões definidos pelo Quadro de Privacidade dos Dados UE-EUA.

Nos nossos produtos, sistemas e processos, a Arthrex implementa as salvaguardas necessárias para garantir que qualquer transferência posterior de dados pessoais é protegida com os mais elevados padrões.

Para obter informações sobre a proteção dos seus dados pessoais ao longo da respetiva jornada, consulte o Acordo de Tratamento de Dados que assinámos consigo, o Aviso de Privacidade de Arthrex ou o aviso de privacidade específico que lhe é fornecido no contexto do produto ou serviço que está a utilizar.

  1. Transferência de dados pessoais para os Estados Unidos

A Arthrex cumpre com o Quadro de Privacidade dos Dados UE-EUA (QPD UE-EUA), com a Extensão do Reino Unido ao QPD UE-EUA e com o Quadro de Privacidade dos Dados Suíça-EUA (QPD Suíça-EUA), conforme definido pelo Departamento de Comércio dos EUA. A Arthrex certificou perante o Departamento de Comércio dos EUA que adere aos Princípios do Quadro de Privacidade dos Dados UE-EUA (PrincípiosQPD UE-EUA) relativamente ao tratamento de dados pessoais recebidos da União Europeia e do Reino Unido, baseando-se no QPD UE-EUA e na Extensão do Reino Unido ao QPD UE-EUA.  A Arthrex também certificou perante o Departamento de Comércio dos EUA que adere aos Princípios do Quadro de Privacidade dos Dados Suíça-EUA (Princípios QPD Suíça-EUA) relativamente ao tratamento de dados pessoais recebidos da Suíça, baseando-se no QPD Suíça-EUA. Se existir qualquer conflito entre os termos desta política de privacidade e os Princípios do QPD UE-EUA e/ou os Princípios do QPD Suíça-EUA, os Princípiosirão prevalecer.  Para saber mais sobre o programa do Quadro de Privacidade dos Dados (QPD) e para ver a nossa certificação, visite  https://www.dataprivacyframework.gov/.

As entidades ou subsidiárias da Arthrex nos EUA que se seguem respeitam e cumprem os Princípios QPD UE-EUA, incluindo, conforme aplicável, aqueles ao abrigo da Extensão do Reino Unido ao QPD UE-EUA, bem como os Princípios QPD Suíça-EUA. Estão também abrangidas pela apresentação relativa ao QPD da Arthrex:

  • Arthrex, Inc., 1370 Creekside Blvd., Naples, Florida 34108, EUA
  • Arthrex Manufacturing Inc., 6875 Arthrex Commerce Dr., Ave Maria, FL 34142, EUA
  • Arthrex California Technology, Inc., 460 Ward Drive, Santa Barbara, California 93111, EUA

Em conformidade com o QPD UE-EUA, com a Extensão do Reino Unido ao QPD UE-EUA e com o QPD Suíça-EUA, a Arthrex compromete-se a encaminhar as reclamações não resolvidas relacionadas com o nosso tratamento de dados pessoais recebidos, baseando-se no QPD UE-EUA, na Extensão do Reino Unido ao QPD UE-EUA e no QPD Suíça-EUA, para o Serviço de mecanismo de recurso independente de QPD do Centro Internacional para Resolução de Disputas da Associação Americana de Arbitragem, um fornecedor de serviços de resolução de disputas alternativo sediado nos Estados Unidos. No caso de não receber atempadamente uma confirmação de receção da sua reclamação relacionada com os Princípios QPD da nossa parte, ou no caso de não termos resolvido a sua reclamação relacionada com os Princípios QPD de forma satisfatória, visite https://go.adr.org/dpf_irm.html para obter mais informações ou para apresentar uma reclamação. Os serviços do Centro Internacional para Resolução de Disputas da Associação Americana de Arbitragem são prestados de forma gratuita.

Em conformidade com o QPD UE-EUA, com a Extensão do Reino Unido ao QPD UE-EUA e com o QPD Suíça-EUA, a Arthrex compromete-se a resolver as reclamações relacionadas com os Princípios QPD que digam respeito ao nosso processo de recolha e utilização dos seus dados pessoais. Os cidadãos da UE e do Reino Unido, assim como os cidadãos da Suíça, com dúvidas ou reclamações relacionadas com o nosso tratamento de dados pessoais recebidos, com fundamento no QPD UE-EUA, na Extensão do Reino Unido aoQPD UE-EUA e no QPD Suíça-EUA, devem contactar primeiro a Arthrex através do seguinte e-mail privacy@arthrex.com.

Relativamente à transferência de dados pessoais para os Estados Unidos e à participação no Quadro de Privacidade dos Dados (QPD), a Arthrex compromete-se a arbitrar as reclamações e a seguir os termos definidos no Anexo I do QPD (https://www.dataprivacyframework.gov/framework-article/ANNEX-I-introduction).

A Arthrex está sujeita a poderes investigatórios e de execução da Comissão Federal do Comércio (FTC). Poderá ser solicitado à Arthrex que divulgue dados pessoais que tratamos ao abrigo do Quadro de Privacidade dos Dados como resposta aos pedidos legítimos por parte de autoridades públicas, incluindo cumprir os requisitos de segurança nacional ou requisitos de aplicação da lei.

Para obter informações sobre o tipo ou identidade de terceiros e sobre as finalidades subjacentes à divulgação de dados pessoais por parte da Arthrex, visite https://privacy.arthrex.com/index.html#Sharing-of-Personal-Data. A Arthrex é responsável por qualquer transferência posterior de dados pessoais.

Para obter informações sobre os direitos dos titulares de dados de aceder aos respetivos dados pessoais e de limitar a utilização e divulgação dos dados pessoais, visite https://privacy.arthrex.com/index.html#What-Are-Your-Rights e consulte o Aviso de Privacidade da Arthrex relativo à EMEA em https://privacy.arthrex.com/our-commitment-to-privacy/european-economic-area-emea.html.

  1. Avaliação do interesse das autoridades dos Estados Unidades nas transferências de dados pessoais da Arthrex

Além da decisão de adequação do QPD UE-EUA, realizámos uma extensa avaliação do risco das transferências de dados pessoais da Arthrex, considerando os fatores seguintes: a(s) finalidade(s) para as quais os dados pessoais são transferidos e tratados (por exemplo, marketing, RH, armazenamento de dados, suporte TI, ensaios clínicos).    

  • Os tipos de entidades envolvidas no tratamento (por exemplo, público/privado; responsável pelo tratamento/subcontratante).
  • O setor no qual a transferência ocorre (por exemplo, medicina, telecomunicações, finanças, etc.)
  • As categorias de dados pessoais transferidos (por exemplo, dados pessoais relacionados com crianças poderão pertencer ao âmbito de legislação específica no país terceiro).
  • Se os dados pessoais são armazenados no país terceiro ou existe apenas acesso remoto aos dados pessoais armazenados dentro do EEE.
  • O formato dos dados pessoais a serem transferidos (por exemplo, em texto simples, pseudonimizado ou encriptado).
  • A possibilidade dos dados pessoais estarem sujeitos a transferências posteriores do país terceiro para outro (ou dentro do mesmo) país terceiro.

Estes fatores e, particularmente, a natureza dos dados pessoais transferidos sustenta um argumento de que é improvável que o governo dos EUA procure adquirir a informação transferida. Como empresa de dispositivos médicos, a Arthrex não está envolvida numa indústria com preocupações acrescidas em termos de segurança nacional (por exemplo, contratos de defesa, apoio à comunidade dos serviços de informações secretas, contratos do governo ou prestação de infraestruturas críticas). Em vez disso, as informações que a empresa transfere normalmente inclui dados pessoais do pessoal, segurança dos sistemas de dados, credenciais de utilizador de aprendizagem online e informações de contas e registos médicos que possam conter dados pessoais. Estes registos médicos são primariamente utilizados para desenvolver ferramentas e planos cirúrgicos específicos, monitorizar a recuperação e progresso dos pacientes em algumas circunstâncias pós-cirurgia e, em circunstâncias limitadas, para fornecer apoio técnico para processos de gravação de vídeos cirúrgicos. A Arthrex está a receber os dados pessoais da sua subsidiária na UE com vista a apoiar os seus esforços comerciais de rotina, que não são sensíveis em termos de considerações de segurança nacional ou contra-informação. Os dados pessoais não são transferidos para países adicionais a partir dos Estados Unidos e quando transmitidos para os Estados Unidos são enviados em formato encriptado ou acedidos remotamente de forma segura a partir dos Estados Unidos. A Arthrex não recebeu e é improvável que receba qualquer pedido por parte do governo dos EUA relativamente a dados pessoais tratados pela Arthrex. Assim, não se pode esperar razoavelmente que quaisquer dados pessoais tratados pela Arthrex sejam de particular interesse para a segurança nacional.

  1. Considerações adicionais

Quando aplicável, a Arthrex armazenará e tratará exclusivamente os dados pessoais de titulares de dados europeus na União Europeia. Em tais casos, os dados pessoais não são retidos nos Estados Unidos, e qualquer acesso a esses dados a partir dos Estados Unidos baseia-se num requisito estritamente necessário, tal como satisfazer pedidos de apoio do cliente, prestar assistência específica em termos de segurança ou resolver problemas técnicos.

A transferência de dados para os EUA é feita numa base de necessidade estrita de ter de saber/ter de ter segundo os Acordos de Tratamento de Dados que enunciam as medidas organizativas e técnicas que a Arthrex tem em vigor para proteger os dados pessoais dos titulares de dados europeus.

A Arthrex reconhece que no caso de um pedido para conceder acesso a dados pessoais às autoridades dos EUA, a Arthrex será obrigada a informar os clientes, permitindo-lhes denunciar o contrato connosco e parar as transferências de dados pessoais para a nossa organização. É importante referir que a Arthrex nunca emitiu uma tal notificação e com base na mencionada avaliação, é altamente improvável que essa circunstância surja no futuro.

  1. Conclusão

Com base na análise abrangente descrita acima, avaliamos com confiança que o risco de prejudicar os titulares dos dados é mínimo. A conclusão baseia-se nas medidas de proteção e salvaguardas rigorosas implementadas pela Arthrex juntamente com a possibilidade altamente improvável de pedidos para acesso a dados pessoais por parte das autoridades dos EUA relativamente aos nossos produtos e serviços. Assim, tendo em conta estes fatores e em conformidade com as obrigações legais relevantes, afirmamos que o risco de danos para os titulares dos dados é considerado insignificante.

Independentemente da exposição de baixo risco relativamente à transferência de dados pessoais de titulares de dados europeus para os EUA, a Arthrex está totalmente empenhada em manter a conformidade com os princípios e salvaguardas delineadas no Quadro de Privacidade dos Dados UE-EUA e todos os regulamentos relevantes, assim como as melhores práticas em matéria de proteção de dados. Ao manter estes padrões, asseguramos a transferência segura e legítima de dados pessoais, demonstrando a nossa dedicação inabalável à proteção da privacidade dos nossos clientes.