Declaração relativa à transferência de dados pessoais de titulares de dados europeus para os Estados Unidos
A Arthrex assegura que todas as transferências de dados pessoais para a nossa organização cumprem integralmente os regulamentos relevantes de proteção de dados. Damos prioridade à proteção dos seus dados pessoais e continuamos dedicados ao cumprimento dos padrões definidos pelo Quadro de Privacidade dos Dados UE-EUA.
Nos nossos produtos, sistemas e processos, a Arthrex implementa as salvaguardas necessárias para garantir que qualquer transferência posterior de dados pessoais é protegida com os mais elevados padrões.
Para obter informações sobre a proteção dos seus dados pessoais ao longo da respetiva jornada, consulte o Acordo de Tratamento de Dados que assinámos consigo, o Aviso de Privacidade de Arthrex ou o aviso de privacidade específico que lhe é fornecido no contexto do produto ou serviço que está a utilizar.
A Arthrex cumpre com o Quadro de Privacidade dos Dados UE-EUA (QPD UE-EUA), com a Extensão do Reino Unido para o QPD UE-EUA e com o Quadro de Privacidade dos Dados Suíça-EUA (QPD Suíça-EUA) conforme definido pelo Departamento de Comércio dos Estados Unidos. A Arthrex certificou perante o Departamento de Comércio dos Estados Unidos que adere aos Princípios do Quadro de Privacidade dos Dados UE-EUA (Princípios QPD UE-EUA) relativamente ao tratamento de dados pessoais recebidos da União Europeia baseando-se no QPD EU-EUA e do Reino Unido (e Gibraltar) baseando-se na Extensão do Reino Unido para o QPD EU-EUA. A Arthrex certificou perante o Departamento de Comércio dos Estados Unidos que adere aos Princípios do Quadro de Privacidade dos Dados Suíça-EUA (Princípios QPD Suíça-EUA) relativamente ao tratamento de dados pessoais recebidos da Suíça baseando-se no QPD Suíça-EUA. Se existir qualquer conflito entre os termos desta política de privacidade e os Princípios do QPD UE-EUA e/ou os Princípios do QPD Suíça-EUA, os Princípios irão prevalecer. Para ver a nossa certificação, visite https://www.dataprivacyframework.gov/.
Se tiver quaisquer perguntas ou reclamações sobre o tratamento da Arthrex das suas informações pessoais ao abrigo do Quadro de Privacidade dos Dados ou sobre as nossas práticas de privacidade, contacte-nos através do e-mail: privacy@arthrex.com. Responderemos às suas perguntas rapidamente. Se tiver qualquer questão de privacidade ou utilização de dados por resolver que nós não tenhamos tratado satisfatoriamente, contacte o nosso fornecedor de resolução de litígios terceiros sediado nos EUA (gratuito) em https://www.adr.org/. Se nem a Arthrex nem o nosso fornecedor de resolução de litígios resolver a sua reclamação, poderá procurar arbitragem vinculativa através do Painel do Quadro de Privacidade dos Dados. Para saber mais sobre o Painel do Quadro de Privacidade dos Dados, visite aqui.
Pode rever o registo do Quadro de Privacidade dos Dados da Arthrex aqui. A Arthrex está sujeita a poderes investigatórios e de execução da Comissão Federal do Comércio (FTC). Poderá ser pedido à Arthrex que divulgue informações pessoais que tratamos ao abrigo do Quadro de Privacidade dos Dados como resposta aos pedidos legítimos por parte de autoridades públicas, incluindo cumprir os requisitos de segurança nacional ou requisitos de aplicação da lei.
Além da decisão de adequação do QPD UE-EUA, realizámos uma extensa avaliação do risco das transferências de dados pessoais da Arthrex, considerando os fatores seguintes: a(s) finalidade(s) para as quais os dados pessoais são transferidos e tratados (por exemplo, marketing, RH, armazenamento de dados, suporte TI, ensaios clínicos).
Estes fatores e, particularmente, a natureza dos dados pessoais transferidos sustenta um argumento de que é improvável que o governo dos EUA procure adquirir a informação transferida. Como empresa de dispositivos médicos, a Arthrex não está envolvida numa indústria com preocupações acrescidas em termos de segurança nacional (por exemplo, contratos de defesa, apoio à comunidade dos serviços de informações secretas, contratos do governo ou prestação de infraestruturas críticas). Em vez disso, as informações que a empresa transfere normalmente inclui dados pessoais do pessoal, segurança dos sistemas de dados, credenciais de utilizador de aprendizagem online e informações de contas e registos médicos que possam conter dados pessoais. Estes registos médicos são primariamente utilizados para desenvolver ferramentas e planos cirúrgicos específicos, monitorizar a recuperação e progresso dos pacientes em algumas circunstâncias pós-cirurgia e, em circunstâncias limitadas, para fornecer apoio técnico para processos de gravação de vídeos cirúrgicos. A Arthrex está a receber os dados pessoais da sua subsidiária na UE com vista a apoiar os seus esforços comerciais de rotina, que não são sensíveis em termos de considerações de segurança nacional ou contra-informação. Os dados pessoais não são transferidos para países adicionais a partir dos Estados Unidos e quando transmitidos para os Estados Unidos são enviados em formato encriptado ou acedidos remotamente de forma segura a partir dos Estados Unidos. A Arthrex não recebeu e é improvável que receba qualquer pedido por parte do governo dos EUA relativamente a dados pessoais tratados pela Arthrex. Assim, não se pode esperar razoavelmente que quaisquer dados pessoais tratados pela Arthrex sejam de particular interesse para a segurança nacional.
A Arthrex implementou medidas complementares para assegurar a proteção adequada dos dados pessoais, mesmo em circunstâncias em que o regime legal do país de destino apresenta pouco ou nenhum risco material. Estas medidas complementares estão classificadas em três categorias: (i) salvaguardas contratuais, (ii) salvaguardas organizativas e (iii) salvaguardas técnicas:
a) Contratuais
Tal como explicado acima, a Arthrex estabelecerá salvaguardas de definição de acordos contratuais para transferência de dados pessoais para os Estados Unidos.
Quando o tratamento dos dados pessoais de titulares de dados europeus é mandatado por um contrato, a Arthrex irá:
(i) concordar em ficar diretamente vinculada pelos Acordos de Tratamento de Dados que definem as medidas organizativas e técnicas que a Arthrex tem em vigor para proteger os dados pessoais de titulares de dados europeus.
(ii) celebrar CCT adequadas de subcontratante para subcontratante com cada subcontratante ulterior localizado num país terceiro sem proteção adequada, onde o subtratamento leva a transferências posteriores para um país terceiro.
b) Organizativas
As preocupações suscitadas pelo TJUE relativamente à transferência de dados pessoais para os Estados Unidos centraram-se essencialmente em torno das práticas de recolha de dados do governo dos Estados Unidos tal como definido na Ordem Executiva dos EUA 12333 ("OE 12333") e a Secção 702 da Lei de Vigilância de Informações Secretas Estrangeiras ("FISA Ş 702"), particularmente no que diz respeito a vigilância a "montante" ao abrigo de FISA Ş 702. Contudo, os riscos associados a estas disposições legais específicas não se aplicam ao tratamento de dados pessoais pela Arthrex ou podem ser mitigados eficazmente implementando salvaguardas organizativas adequadas oferecidas pela Arthrex. Adicionalmente, a Arthrex pretende utilizar os mecanismos legais disponíveis para desafiar exigências para acesso a dados pessoais por parte das autoridades dos EUA.
É importante salientar que a Arthrex não auxilia nem pode ser obrigada a auxiliar as autoridades dos EUA nos seus esforços de recolha de informações ao abrigo da Ordem Executiva 12333. A Arthrex não se envolve nem fornecerá qualquer forma de assistência às autoridades dos EUA envolvidas em atividades de vigilância ao abrigo da OE 12333. A OE 12333 não concede ao Governo dos EUA o poder de obrigar as empresas a fornecerem assistência em tais atividades e a Arthrex não se envolverá em cooperação voluntária. Consequentemente, a Arthrex não participa em e não pode ser obrigada a tomar quaisquer medidas que facilitem o tipo de vigilância em massa ao abrigo da OE 12333 que foi considerado problemático.
A Arthrex não é elegível para receber ordens de vigilância a "montante" ou em massa ao abrigo da FISA Ş 702, pois não presta os serviços relevantes. A interpretação do Governo dos EUA e a aplicação da FISA Ş 702 confirma a inelegibilidade da Arthrex para esta ordem específica. É altamente improvável que os dados pessoais tratados dos clientes da Arthrex sejam relevantes para atividades de serviços de inteligência estrangeiros regidos pela FISA Ş 702. Se tais dados forem relevantes, o governo provavelmente optará por caminhos legais alternativos, como obter um mandado de busca, pois é um processo mais rápido e mais simples do que emitir diretivas ao abrigo da FISA Ş 702.
C) Técnicas
A Arthrex implementa medidas técnicas que mitigam com sucesso as principais preocupações, nomeadamente de vigilância em massa ao abrigo da FISA § 702 e interceções em massa ao abrigo da OE 12333.
A Arthrex encripta todos os dados pessoais no nosso sistema e em trânsito com encriptação que cumpre os mais recentes requisitos do RGPD. As medidas de encriptação implementadas pela Arthrex servem a finalidade de prevenir acesso não autorizado a dados pessoais num formato ininteligível e salvaguardar contra escutas ou adulteração não autorizadas durante a transmissão de dados pessoais entre dois pontos finais.
A Arthrex impões protocolos administrativos, técnicos e físicos rigorosos para salvaguardar os dados pessoais armazenados nos seus servidores. O acesso aos dados pessoais é restringido através da utilização de credenciais de início de sessão limitadas apenas a funcionários que necessitam de tal acesso para cumprirem as responsabilidades das suas funções. A Arthrex utiliza controlos de acesso como autenticação multifator, acesso restrito a contas administrativas, início de sessão único, princípio do menor privilégio e controlos robustos de palavras-passe. Além do mais, a Arthrex implementa métodos de minimização de dados para restringir a transferência de dados pessoais da UE para jurisdições de países terceiros. Isto pode envolver a pseudonimização ou desidentificação de dados pessoais, quando apropriado.
Quando aplicável, a Arthrex armazenará e tratará exclusivamente os dados pessoais de titulares de dados europeus na União Europeia. Em tais casos, os dados pessoais não são retidos nos Estados Unidos, e qualquer acesso a esses dados a partir dos Estados Unidos baseia-se num requisito estritamente necessário, tal como satisfazer pedidos de apoio do cliente, prestar assistência específica em termos de segurança ou resolver problemas técnicos.
A transferência de dados para os EUA é feita numa base de necessidade estrita de ter de saber/ter de ter segundo os Acordos de Tratamento de Dados que enunciam as medidas organizativas e técnicas que a Arthrex tem em vigor para proteger os dados pessoais dos titulares de dados europeus.
A Arthrex reconhece que no caso de um pedido para conceder acesso a dados pessoais às autoridades dos EUA, a Arthrex será obrigada a informar os clientes, permitindo-lhes denunciar o contrato connosco e parar as transferências de dados pessoais para a nossa organização. É importante referir que a Arthrex nunca emitiu uma tal notificação e com base na mencionada avaliação, é altamente improvável que essa circunstância surja no futuro.
Com base na análise abrangente descrita acima, avaliamos com confiança que o risco de prejudicar os titulares dos dados é mínimo. A conclusão baseia-se nas medidas de proteção e salvaguardas rigorosas implementadas pela Arthrex juntamente com a possibilidade altamente improvável de pedidos para acesso a dados pessoais por parte das autoridades dos EUA relativamente aos nossos produtos e serviços. Assim, tendo em conta estes fatores e em conformidade com as obrigações legais relevantes, afirmamos que o risco de danos para os titulares dos dados é considerado insignificante.
Independentemente da exposição de baixo risco relativamente à transferência de dados pessoais de titulares de dados europeus para os EUA, a Arthrex está totalmente empenhada em manter a conformidade com os princípios e salvaguardas delineadas no Quadro de Privacidade dos Dados UE-EUA e todos os regulamentos relevantes, assim como as melhores práticas em matéria de proteção de dados. Ao manter estes padrões, asseguramos a transferência segura e legítima de dados pessoais, demonstrando a nossa dedicação inabalável à proteção da privacidade dos nossos clientes.