Transferência de dados pessoais de titulares de dados europeus para os Estados Unidos
A Arthrex assegura que todas as transferências de dados pessoais para a nossa organização cumprem integralmente os regulamentos relevantes de proteção de dados. Damos prioridade à proteção dos seus dados pessoais e continuamos dedicados ao cumprimento dos padrões definidos pelo Quadro de Privacidade dos Dados UE-EUA.
Nos nossos produtos, sistemas e processos, a Arthrex implementa as salvaguardas necessárias para garantir que qualquer transferência posterior de dados pessoais é protegida com os mais elevados padrões.
Para obter informações sobre a proteção dos seus dados pessoais ao longo da respetiva jornada, consulte o Acordo de Tratamento de Dados que assinámos consigo, o Aviso de Privacidade da Arthrex ou o aviso de privacidade específico que lhe é fornecido no contexto do produto ou serviço que está a utilizar.
A Arthrex cumpre com o Quadro de Privacidade dos Dados UE-EUA (QPD UE-EUA) e a Extensão do Reino Unido para o QPD UE-EUA e com o Quadro de Privacidade dos Dados Suíça-EUA (QPD Suíça-EUA), conforme definido pelo Departamento de Comércio dos Estados Unidos. A Arthrex certificou perante o Departamento de Comércio dos Estados Unidos que adere aos Princípios do Quadro de Privacidade dos Dados UE-EUA (Princípios QPD UE-EUA) relativamente ao tratamento de dados pessoais recebidos da União Europeia e do Reino Unido, baseando-se no QPD UE-EUA e na Extensão do Reino Unido para o QPD UE-EUA. A Arthrex certificou perante o Departamento de Comércio dos Estados Unidos que adere aos Princípios do Quadro de Privacidade dos Dados Suíça-EUA (Princípios QPD Suíça-EUA) relativamente ao tratamento de dados pessoais recebidos da Suíça, baseando-se no QPD Suíça-EUA. Se existir qualquer conflito entre os termos desta política de privacidade e os Princípios do QPD UE-EUA e/ou os Princípios do QPD Suíça-EUA, os Princípios irão prevalecer. Para obter mais informações sobre Programa do Quadro de Privacidade dos Dados (QPD) e consultar a nossa certificação, visite https://www.dataprivacyframework.gov/.
As seguintes entidades da Arthrex nos EUA ou subsidiárias da Arthrex nos EUA estão a aderir aos Princípios QPD UE-EUA, incluindo, conforme aplicável, ao abrigo da Extensão do Reino Unido para o QPD UE -EUA e dos Princípios do QPD Suíça-EUA e são abrangidas pela declaração do QPD da Arthrex:
Nos termos do QPD UE-EUA, da Extensão do Reino Unido para o QPD UE-EUA e do QPD Suíça-EUA, a Arthrex compromete-se a encaminhar quaisquer reclamações não resolvidas no âmbito do nosso tratamento de dados pessoais recebidas com base no QPD UE-EUA, da Extensão do Reino Unido para o QPD UE-EUA e do QPD Suíça-EUA, para ICDR-AAA DPF IRM Service, uma entidade de resolução alternativa de litígios sedeada nos Estados Unidos. Se não receber uma confirmação atempada da nossa parte da sua reclamação relacionada com os Princípios QPD ou se não tivermos abordado a sua reclamação relacionada com os Princípios QPD a seu contento, consulte https://go.adr.org/dpf_irm.html para obter mais informações ou para apresentar uma reclamação. Os serviços da ICDR-AAA são fornecidos gratuitamente.
Em conformidade com o QPD UE-EUA, a Extensão do Reino Unido para o QPD UE-EUA e o QPD Suíça-EUA, a Arthrex compromete-se a resolver as reclamações relacionadas com os Princípios QPD sobre a nossa recolha e utilização dos seus dados pessoais. Os indivíduos da UE, Reino Unido e Suíça com questões ou reclamações relativamente à forma como tratamos os dados pessoais recebidos com base no QPD UE-EUA, na Extensão do Reino Unido para o QPD UE-EUA e no QPD Suíça-EUA devem primeiro contactar a Arthrex para privacy@arthrex.com.
A Arthrex permanece a responsável ao abrigo dos Princípios QPD UE-EUA, da Extensão do Reino Unido para o QPD UE-EUA e/ou dos Princípios QPD Suíça-EUA por quaisquer terceiros envolvidos que tratem os dados pessoais em nome da Arthrex de forma inconsistente com os Princípios, salvo se a Arthrex demonstre que não é responsável pelo evento que originou os danos. Para mais informações sobre o tipo ou identidade de terceiros e as finalidades para as quais a Arthrex divulga dados pessoais, consulte https://privacy.arthrex.com/pt/o-nosso-compromisso-com-a-privacidade.
A Arthrex está sujeita a poderes investigatórios e de execução da Comissão Federal do Comércio (FTC). Poderá ser pedido à Arthrex que divulgue dados pessoais que tratamos ao abrigo do Quadro de Privacidade dos Dados como resposta aos pedidos legítimos por parte de autoridades públicas, incluindo cumprir os requisitos de segurança nacional ou requisitos de aplicação da lei.
Para mais informações sobre o tipo ou identidade de terceiros e as finalidades para as quais a Arthrex divulga dados pessoais, consulte https://privacy.arthrex.com/pt/o-nosso-compromisso-com-a-privacidade#Partilha-de-Dados-Pessoais. A Arthrex é responsável pela transferência ulterior de dados pessoais.
Para mais informações sobre os direitos dos indivíduos em aceder aos respetivos dados pessoais e limitar a utilização e divulgação dos dados pessoais, consulte https://privacy.arthrex.com/pt/o-nosso-compromisso-com-a-privacidade#Quais-s-o-os-seus-direitos e o Aviso de Privacidade da Arthrex relativo à EMEA em https://privacy.arthrex.com/pt/espaco-economico-europeu-eee.
Se os dados pessoais abrangidos por este Aviso de Privacidade se destinarem a ser utilizados para uma nova finalidade que seja materialmente diferente para a qual os dados pessoais foram originalmente recolhidos ou subsequentemente autorizados ou se se destinarem a ser divulgados a terceiros que atuam por conta própria de uma forma não especificada por este Aviso de Privacidade, a Arthrex irá dar-lhe a oportunidade de escolher se pretende que os seus dados pessoais sejam utilizados ou divulgados. Os pedidos de não participação em tais utilizações ou divulgações de dados pessoais devem ser enviados para privacy@arthrex.com.
Determinados dados pessoais, tais como informações sobre condições médicas ou de saúde, origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, são considerados “dados pessoais sensíveis”. A Arthrex não irá utilizar “dados pessoais sensíveis” para qualquer finalidade diferente para a qual foram originalmente recolhidos ou subsequentemente autorizados pelo indivíduo, exceto se a Arthrex tiver recebido o seu consentimento.
Qualquer indivíduo cujos Dados Pessoais tenham sido fornecidos à Arthrex, tem o direito de obter confirmação sobre se os seus Dados Pessoais estão a ser tratados ou não. Neste contexto, um indivíduo tem o direito de solicitar à Arthrex a correção de Dados Pessoais imprecisos e/ou que quaisquer dados pessoais incompletos sejam completados; o direito de solicitar a eliminação de determinados Dados Pessoais, tais como Dados Pessoais que já não sejam necessários para fins legítimos; o direito de solicitar a restrição do tratamento de determinados Dados Pessoais (por exemplo, dados imprecisos); e o direito à portabilidade dos dados. Um indivíduo tem também o direito de objeção a determinadas operações de tratamento dos seus Dados Pessoais. Sujeito aos regulamentos locais, os indivíduos têm o direito de apresentar uma reclamação junto de uma autoridade de controlo.
Em relação aos dados pessoais recebidos ou transferidos em conformidade com o QPD, se não for possível resolver a sua reclamação no âmbito do QPD através dos canais acima mencionados, em certas condições, pode invocar a arbitragem vinculativa para algumas queixas residuais não resolvidas por outros mecanismos de recursos. No que respeita à transferência de dados pessoais para os Estados Unidos e à participação no QPD, a Arthrex irá proceder à arbitragem de queixas e cumprir os termos definidos no Anexo I do QPD localizado aqui.
Além da decisão de adequação do QPD UE-EUA, realizámos uma extensa avaliação do risco das transferências de dados pessoais da Arthrex, considerando os fatores seguintes: a(s) finalidade(s) para as quais os dados pessoais são transferidos e tratados (por exemplo, marketing, RH, armazenamento de dados, suporte TI, ensaios clínicos).
Estes fatores e, particularmente, a natureza dos dados pessoais transferidos sustentam um argumento de que é improvável que o governo dos EUA procure adquirir a informação transferida. Como empresa de dispositivos médicos, a Arthrex não está envolvida numa indústria com preocupações acrescidas em termos de segurança nacional (por exemplo, contratos de defesa, apoio à comunidade dos serviços de informações secretas, contratos do governo ou prestação de infraestruturas críticas). Em vez disso, as informações que a empresa transfere normalmente incluem dados pessoais do pessoal, segurança dos sistemas de dados, credenciais de utilizador de aprendizagem online e informações de contas e registos médicos que podem conter dados pessoais. Estes registos médicos são primariamente utilizados para desenvolver ferramentas e planos cirúrgicos específicos, monitorizar a recuperação e progresso dos pacientes em algumas circunstâncias pós-cirurgia e, em circunstâncias limitadas, para fornecer apoio técnico para processos de gravação de vídeos cirúrgicos. A Arthrex está a receber os dados pessoais da sua subsidiária na UE com vista a apoiar os seus esforços comerciais de rotina, que não são sensíveis em termos de considerações de segurança nacional ou contrainformação. Os dados pessoais não são transferidos para países adicionais a partir dos Estados Unidos e quando transmitidos para os Estados Unidos são enviados em formato encriptado ou acedidos remotamente de forma segura a partir dos Estados Unidos. A Arthrex não recebeu e é improvável que receba qualquer pedido por parte do governo dos EUA relativamente a dados pessoais tratados pela Arthrex. Assim, não se pode esperar razoavelmente que quaisquer dados pessoais tratados pela Arthrex sejam de particular interesse para a segurança nacional.
Quando aplicável, a Arthrex armazenará e tratará exclusivamente os dados pessoais de titulares de dados europeus na União Europeia. Em tais casos, os dados pessoais não são retidos nos Estados Unidos, e qualquer acesso a esses dados a partir dos Estados Unidos baseia-se num requisito estritamente necessário, tal como satisfazer pedidos de apoio do cliente, prestar assistência específica em termos de segurança ou resolver problemas técnicos.
A transferência de dados para os Estados Unidos é feita numa base de necessidade estrita de ter de saber/ter de ter segundo os Acordos de Tratamento de Dados que enunciam as medidas organizativas e técnicas que a Arthrex tem em vigor para proteger os dados pessoais dos titulares de dados europeus.
A Arthrex reconhece que no caso de um pedido para conceder acesso a dados pessoais às autoridades dos EUA, a Arthrex será obrigada a informar os clientes, permitindo-lhes denunciar o contrato connosco e parar as transferências de dados pessoais para a nossa organização. É importante referir que a Arthrex nunca emitiu uma tal notificação e com base na mencionada avaliação, é altamente improvável que essa circunstância surja no futuro.
Com base na análise abrangente descrita acima, avaliamos com confiança que o risco de prejudicar os titulares dos dados é mínimo. A conclusão baseia-se nas medidas de proteção e salvaguardas rigorosas implementadas pela Arthrex juntamente com a possibilidade altamente improvável de pedidos para acesso a dados pessoais por parte das autoridades dos EUA relativamente aos nossos produtos e serviços. Assim, tendo em consideração estes fatores e em conformidade com as obrigações legais relevantes, afirmamos que o risco de danos para os titulares dos dados é considerado insignificante.
Independentemente da exposição de baixo risco relativamente à transferência de dados pessoais de titulares de dados europeus para os EUA, a Arthrex está totalmente empenhada em manter a conformidade com os princípios e salvaguardas delineadas no Quadro de Privacidade dos Dados UE-EUA e todos os regulamentos relevantes, assim como as melhores práticas em matéria de proteção de dados. Ao manter estes padrões, asseguramos a transferência segura e legítima de dados pessoais, demonstrando a nossa dedicação inabalável à proteção da privacidade dos nossos clientes.