ICU Medical

Política global de privacidad

(Ver la política global de privacidad en español)

1. Descripción general y objetivos

La protección de datos personales, así como el cumplimiento de las leyes y normativas de privacidad y protección de datos, es importante para nuestra organización y sus filiales («nosotros», «nos», la «Empresa»). Es una cuestión que nos tomamos en serio y nuestro objetivo es garantizar los derechos de privacidad de nuestros empleados, contactos comerciales y clientes cuando manejamos información que les incumbe.

Esta Política global de privacidad (la «Política») establece un marco de gobernanza integral para gestionar los riesgos de privacidad y protección de datos. Específicamente, los Anexos A y B de esta Política abordan ciertos requisitos en virtud de la legislación colombiana y mexicana, respectivamente, según lo dispuesto en dichos Anexos.

Esta Política, junto con cualquier Anexo, y los documentos justificativos establecen procesos y herramientas que ofrecen un enfoque coherente de la gestión de riesgos de privacidad en toda la organización. La protección de los datos personales de los empleados, contactos comerciales y clientes es fundamental para preservar la confianza de los empleados, socios comerciales y clientes.

En particular, esta Política:

  1. establece los principios de protección de datos que sustentan nuestro marco de privacidad global;
  2. identifica y explica las funciones y responsabilidades de protección de datos;
  3. establece el Programa de privacidad;
  4. identifica las políticas, los procedimientos y las normas de carácter interno que respaldan esta Política y, junto con esta Política, constituyen el marco de privacidad de nuestra organización; y
  5. establece una lista (no exhaustiva) de los requisitos que los empleados, contratistas, consultores y cualquier persona que nos preste apoyo o servicios deben cumplir para preservar la confidencialidad y seguridad de los datos personales que manejan.

Esta Política no proporciona una lista exhaustiva de conductas permitidas o prohibidas ni establece todas las reglas. Esta Política no sustituye la responsabilidad de ejercer un buen juicio comercial y un cuidado adecuado. Las personas deben buscar igualmente asesoramiento adecuado a través de los canales oportunos en relación con cualquier inquietud y problema específico que no se aborde específicamente en esta Política.

2. Alcance y aplicación

Esta Política se aplica a todos los consejeros, gerentes, empleados, contratistas, consultores y cualquier otra persona que preste apoyo o servicios en nuestra organización con respecto a todas nuestras operaciones en todo el mundo que impliquen el tratamiento de datos personales.

Es responsabilidad de todos los consejeros, gerentes, empleados, contratistas, consultores y cualquier otra persona que preste apoyo o servicios a nuestra organización cumplir con esta Política. Se requiere el reconocimiento y el entendimiento de esta Política a través de contratos y capacitación obligatoria. El incumplimiento de esta Política puede constituir un incumplimiento de las condiciones de empleo y puede dar lugar a medidas disciplinarias que pueden incluir el despido o la rescisión de contratos de servicios.

La alta dirección es responsable en última instancia de garantizar el cumplimiento de esta Política. El Departamento Jurídico, en coordinación con Auditoría Interna, es responsable de supervisar el cumplimiento de esta Política. 

Definiciones

Término

Definición

Interesado(s) o persona(s)

se refiere a cualquier persona viva con la que se relacionan los datos personales o los datos sensibles. Algunos ejemplos de interesados son los consumidores, contactos comerciales y empleados, contratistas, consultores y cualquier otra persona que preste apoyo o servicios a la Empresa.

Leyes de protección de datos

se refiere a cualquier ley, normativa, requisito normativo y código de prácticas aplicables relacionados con la protección de las personas en relación con el tratamiento de sus datos personales, incluida la seguridad de la información.

Violación de la seguridad o incidente de datos

se refiere a cualquier acontecimiento real o sospechado en el que la seguridad, la confidencialidad, la integridad o la disponibilidad de los datos personales se ha visto o podría verse comprometida, lo que conduce, de modo accidental, ilícito o no autorizado, a destrucción, pérdida, alteración, divulgación o acceso a datos personales o a cualquier otro uso ilícito de los datos personales (p. ej., envío de un correo electrónico con datos personales involuntariamente a destinatarios equivocados; pérdida o robo de un registro en papel con datos personales; ciberataque cometido por hackers o pérdida o robo de un portátil de trabajo).

Tratamiento de datos o tratamiento

se refiere a cualquier uso de datos personales por parte de nuestra organización (o de un tercero en nombre de nuestra organización), incluida la recogida de datos, el intercambio de datos y el almacenamiento de datos. El mero almacenamiento de los datos se considera tratamiento.

Datos personales

se refiere a cualquier información relacionada con una persona que identifique a la persona o que pueda utilizarse razonablemente para identificar a la persona, independientemente del soporte implicado (p. ej., papel, electrónico, vídeo o audio). Algunos ejemplos de datos personales son los datos de contacto, datos financieros, contraseñas, direcciones IP, imágenes, historial de búsquedas en línea e información de geolocalización. A menos que se indique lo contrario, los datos personales están destinados a incluir datos sensibles (según se definen a continuación).

Datos personales sensibles

se refiere a datos personales sobre origen racial o étnico, opiniones políticas, creencias religiosas o similares, afiliación sindical, salud o afección física o mental, vida sexual, datos genéticos (p. ej., secuencia genética de una persona), datos biométricos (p. ej., huellas dactilares, reconocimiento facial o exploraciones retinianas), delitos penales cometidos o presuntamente cometidos.

3. Principios de la protección de datos

Las operaciones comerciales de nuestra organización deben ser en todo momento coherentes con los Principios de protección de datos establecidos a continuación. Estos principios son vinculantes en todos nuestros negocios.

  1. Tratamiento lícito, justo y transparente
    Nuestra organización solo utiliza datos personales de manera legal, justa y transparente.

    Cumplimos con las leyes de protección de datos y privacidad en cada una de las jurisdicciones en las que operamos. Cuando lo exija la ley, también nos comprometemos a ayudar a las personas a comprender qué información recogemos, cómo la utilizamos y qué opciones tienen. Lo explicamos a empleados, contratistas, consultores y otros trabajadores, consumidores y contactos comerciales de una manera simple y clara en nuestras declaraciones de privacidad. Revisamos nuestras declaraciones de privacidad con regularidad para mantenerlas actualizadas y asegurarnos de que se correspondan con nuestras prácticas internas.

  2. Limitación de la finalidad
    Solo recogemos datos personales para fines específicos, claros y legítimos, y solo recogemos la cantidad de datos personales necesaria para lograr esos fines. Aunque los datos personales nos ayudan a mejorar los servicios que prestamos, solo los utilizamos de forma proporcional a unos objetivos claros.

  3. Precisión de los datos
    Tomamos medidas para garantizar que los datos personales que conservamos sean precisos, estén actualizados y sean pertinentes para los fines para los que se recogen.

  4. Conservación de los datos
    Solo conservamos los datos personales de forma identificable durante el tiempo estrictamente necesario para los fines para los que los utilizamos.

  5. Derechos de las personas
    Nos comprometemos plenamente a facilitar el ejercicio de los derechos de privacidad de las personas con respecto a nuestro tratamiento de sus datos personales, de acuerdo con las leyes aplicables.

  6. Seguridad de la información
    Utilizamos las medidas físicas, técnicas y organizativas adecuadas para mantener seguros los datos personales y garantizar su integridad, confidencialidad y disponibilidad en todos los sistemas en todo momento.

    Asimismo, nos comprometemos a garantizar que nuestros proveedores que puedan tratar datos personales en nuestro nombre preserven la confidencialidad, integridad y disponibilidad de dichos datos.

  7. Transferencias internacionales de datos personales
    Nuestra organización es una empresa global y, como tal, debemos transferir información internacionalmente. Nos comprometemos plenamente a garantizar la aplicación de medidas de seguridad adecuadas, según lo exijan las leyes aplicables, para proteger los datos personales que transferimos a los países que no tienen leyes de protección de datos adecuadas.

  8. Responsabilidad
    Todos somos responsables de defender los Principios de la protección de datos y de respetar los derechos de privacidad de las personas. Tenemos el deber colectivo e individual de proteger los datos personales de nuestros empleados, contratistas, consultores y otros trabajadores, consumidores y socios comerciales. Con el fin de crear un entorno de confianza y cumplir con las leyes de protección de datos aplicables, todas las personas que ejerzan dentro o en nombre de nuestra organización deben cumplir con nuestras políticas de privacidad y ayudar a la organización a mantener sus compromisos con la protección de datos personales.

4. Cargos y responsabilidades

Dentro de nuestra organización, diferentes partes interesadas pertenecientes a distintos niveles corporativos desempeñan algún papel al garantizar la gestión general de riesgos de privacidad y el cumplimiento de la protección de datos. Se ha identificado que las oficinas y los empleados siguientes tienen funciones y responsabilidades específicas:

  • El Departamento Jurídico es responsable de promover y garantizar el cumplimiento de la privacidad, supervisar la gestión general de la privacidad y el programa de cumplimiento, responder a las consultas y solicitudes de los interesados, atender las solicitudes reglamentarias sobre protección de datos, y ponerse en contacto con el Departamento de TI cuando sea necesario para garantizar la seguridad de la información, que es una parte fundamental de la protección de datos personales.
  • El Departamento de TI es responsable de salvaguardar y supervisar nuestras redes y nuestros sistemas internos y, en particular, de garantizar que los datos personales almacenados, transferidos, consultados y utilizados a través de estas redes y estos sistemas estén adecuadamente protegidos contra violaciones de la seguridad de los datos. El Departamento de TI también es responsable de participar en algunas actividades importantes de protección de datos, como la Evaluación del impacto de la protección de datos (Data Protection Impact Assessment, DPIA).
  • El Departamento de RR. HH. es responsable de gestionar de forma adecuada los datos personales de empleados, contratistas, consultores y cualquier otra persona que preste soporte y servicios, de conformidad con las leyes aplicables. El Departamento de RR. HH. también es responsable de atender las solicitudes de empleados, contratistas, consultores y otros trabajadores que deseen ejercer sus derechos de protección de datos, y de remitir cualquier consulta o queja adicional al Departamento Jurídico. El Departamento de RR. HH. también debe informar al Departamento Jurídico sobre nuevas actividades de tratamiento que afecten a los datos personales de empleados, contratistas, consultores y otros trabajadores. El Departamento de RR. HH. debe participar en la realización de las DPIA de nuevas actividades de tratamiento de RR. HH., actualizar los avisos de privacidad para empleados, contratistas, consultores y otros trabajadores, y darles a conocer sus deberes y responsabilidades en relación con la protección de datos personales (incluida esta Política).

Además, cualquier función empresarial que trate datos personales es responsable de lo siguiente:

  • gestionar el riesgo de privacidad relacionado con el tratamiento llevado a cabo por la función;
  • consultar al Departamento Jurídico cuando lo requieran las políticas y los procedimientos internos;
  • garantizar la seguridad de los datos personales que trata; y
  • gestionar y derivar cualquier incidente de privacidad a instancias superiores según sea necesario.

Todos los consejeros, gerentes, empleados, contratistas, consultores y trabajadores son responsables de preservar la confidencialidad de los datos personales que utilizan y de manejar esta información de forma segura y de acuerdo con esta Política y cualquier otra política, procedimiento y norma de apoyo (según se identifican a continuación en el «Marco de políticas»).

5.  Programa de privacidad

Nuestro Departamento Jurídico supervisará nuestro Programa de privacidad, que proporciona un enfoque integral y coordinado para gestionar el riesgo de privacidad mientras satisface las necesidades y estrategias comerciales. Nuestro Programa de privacidad consta, como mínimo, de los siguientes componentes:

  • Marco de políticas
  • Cumplimiento legal
  • Ventanilla única
  • Documentación del cumplimiento de la protección de datos (decisiones, implementación y auditoría)
  • Registros de actividades de tratamiento
  • Evaluación del impacto de la protección de datos
  • Gestión de riesgos de privacidad de los proveedores
  • Formación sobre protección de datos
  • Gestión de violaciones de la seguridad de los datos
  • Derechos del interesado
    1. Marco de políticas
      Nuestra organización debe operar en todo momento de conformidad con esta Política, el Código de conducta y ética empresarial y la totalidad de las políticas, los procedimientos y las normas de carácter interno relacionados con la privacidad, como la Política de tecnología de la información de uso aceptable, la Política de clasificación y manejo de datos, la Política de respuesta ante incidentes y los avisos de privacidad para el personal, los usuarios en línea y otras personas. Tenga en cuenta que lo anterior puede actualizarse o sustituirse ocasionalmente y que el alcance de la lista siguiente puede ampliarse con políticas adicionales.

    2. Cumplimiento legal
      El Departamento Jurídico mantendrá en todo momento unos procesos que permitan a nuestra organización comprender y cumplir con los requisitos legales en materia de protección de datos, como proporcionar avisos de privacidad a los interesados y obtener su consentimiento para el tratamiento de datos cuando sea necesario. El Departamento Jurídico se asegurará de que las leyes de privacidad se aborden de forma coherente en toda la región donde se apliquen dichas leyes.

    3. Ventanilla única
      El Departamento Jurídico, junto con la alta dirección, determinará dónde podría ubicarse nuestro establecimiento principal en función de nuestras actividades de tratamiento de datos para identificar la autoridad de control principal dentro de la Unión Europea a efectos del tratamiento transfronterizo. La decisión debe documentarse. El Departamento Jurídico supervisará escrupulosamente la autoridad de control principal para obtener orientación y otros resultados emitidos, y conocerá las prioridades de aplicación.

    4. Documentación del cumplimiento de la protección de datos (decisiones, implementación y auditoría)
      El Departamento Jurídico, respaldado por las funciones empresariales pertinentes, creará y mantendrá registros de las decisiones y acciones adoptadas para la gestión de riesgos de privacidad y el cumplimiento de las leyes de protección de datos. Esto también permitirá una colaboración eficaz con los reguladores en el supuesto y en el momento en que sea necesario y permitirá a nuestra organización documentar y demostrar su cumplimiento de la privacidad en todo momento.

      Cuando se aprueben decisiones y acciones relacionadas con la privacidad a escala regional o empresarial, las políticas y los procedimientos pertinentes establecerán la propiedad y la responsabilidad para el mantenimiento de los registros adecuados.

      El Departamento Jurídico también será responsable de garantizar y supervisar el desarrollo de cualquier registro adicional que pueda ser necesario para demostrar el cumplimiento de las leyes de protección de datos aplicables (p. ej., formularios de consentimiento, avisos a los interesados o registro de violaciones de la seguridad de los datos personales).

    5. Registros de actividades de tratamiento
      El Departamento Jurídico recopilará en un documento activo la lista de todas las actividades de tratamiento producidas dentro de nuestra organización en un momento dado; este documento se actualizará periódicamente para reflejar los cambios en las operaciones comerciales. El Departamento de TI, el Departamento de RR. HH. y cualquier otra función empresarial implicada en el tratamiento de datos personales deben contribuir al registro de las actividades de tratamiento (proporcionando información pertinente, como las finalidades del uso de los datos y las transferencias de datos).

    6. Evaluaciones de impacto de la protección de datos
      El Departamento Jurídico establecerá directrices y procedimientos para realizar las Evaluaciones de impacto de la protección de datos en relación con nuevos productos, tecnologías y operaciones comerciales, cuando lo exijan las leyes aplicables o cuando se estime apropiado para gestionar el riesgo de privacidad. Las Evaluaciones de impacto de la protección de datos requerirán la aportación y participación de las funciones comerciales pertinentes.

    7. Gestión de riesgos de privacidad de los proveedores
      La gestión de riesgos al contratar a los proveedores externos que traten datos personales en nuestro nombre (los «encargados del tratamiento») es crucial para garantizar nuestro cumplimiento de la protección de datos. El Departamento Jurídico proporcionará directrices y cualquier contenido de privacidad necesario para la evaluación de riesgos de terceros, y lo mantendrá actualizado según sea necesario para abordar los riesgos de privacidad emergentes. Los riesgos asociados con terceros deben remitirse al Departamento Jurídico.



      En particular, el Departamento Jurídico se asegurará de lo siguiente:
      • que cualquier encargado del tratamiento de datos esté sujeto a la diligencia debida adecuada sobre sus medidas de seguridad de la información antes de ser seleccionado como socio comercial;
      • que se ha establecido un acuerdo de tratamiento adecuado con cualquier encargado del tratamiento, en el que se impongan obligaciones de protección de datos a dicho encargado del tratamiento; y
      • que el cumplimiento del acuerdo de tratamiento por parte del encargado del tratamiento de datos y la legislación aplicable se supervisen periódicamente.

    8. Formación sobre protección de datos
      La formación sobre protección de datos formará parte del plan anual de formación sobre cumplimiento y será obligatoria para el personal pertinente al incorporarse a la empresa y de forma periódica a partir de entonces. El Departamento Jurídico se asegurará de que el contenido de la formación permanezca actualizado y sea adecuado para las operaciones comerciales de nuestra organización, y de que se actualice de forma regular. Las tasas de participación en la formación se supervisarán y documentarán (p. ej., con un registro de formación).

    9. Gestión de violaciones de la seguridad de los datos
      Todas las funciones comerciales son responsables de supervisar las operaciones comerciales para detectar incidentes relacionados con la seguridad de los datos personales, recogerlos de forma oportuna y coherente, y ejecutar estrategias de reducción de riesgos adecuadas.

      Todos los empleados y funciones comerciales son responsables de derivar inmediatamente a instancias superiores cualquier violación de la seguridad de los datos real o presunta de acuerdo con nuestra Política de respuesta a incidentes. Cualquier oficina o función comercial pertinente debe participar en la gestión de filtraciones de acuerdo con dicha política.

      El Departamento Jurídico colabora con el Departamento de TI para garantizar que los incidentes y eventos de riesgo conocidos se identifiquen, evalúen y corrijan adecuadamente, y para estudiar las tendencias de modo que se puedan abordar las causas raíz. El Departamento Jurídico también gestionará las denuncias de incumplimiento ante el regulador competente o los interesados según lo exijan las leyes aplicables.

    10. Derechos de los interesados
      El Departamento Jurídico proporcionará directrices y asistencia al Departamento de RR. HH. y a cualquier otra oficina para abordar cualquier solicitud de ejercicio de derechos por parte de los interesados (p. ej., la solicitud de una persona de acceso a los datos personales que tenemos de conformidad con la legislación aplicable), así como para informar a cualquier interesado de sus derechos en virtud de la legislación aplicable, lo que incluye el derecho a presentar una reclamación ante los reguladores gubernamentales de privacidad de datos pertinentes en caso de que la Empresa infrinja cualquier ley de privacidad de datos aplicable en el tratamiento de los datos personales y sensibles de un interesado.

6.  Qué deben hacer los empleados, contratistas, consultores y trabajadores

Aplicar los Principios de protección de datos a la recogida y el uso de datos personales y seguir las políticas, los procedimientos y las normas relativos a la privacidad.

En particular, se requiere el cumplimiento de las siguientes políticas:

  • Política de uso aceptable y tecnología de la información
  • Política de datos confidenciales
  • Política de clasificación y manejo de los datos
  • Política de correo electrónico
  • Política de cifrado
  • Política de contraseñas
  • Política de acceso remoto
  • Política de programas informáticos de terceros
  • Política de conservación de los datos

También se espera que sigan toda la formación necesaria sobre protección de datos.

El incumplimiento de los términos de esta Política puede dar lugar a medidas disciplinarias que pueden incluir el despido o el fin de la relación comercial, así como acciones legales

7.  Denuncias y preguntas

El Personal de ICU Medical puede denunciar cualquier inquietud a través de una línea directa anónima y confidencial, en el 1-844-330-0007. También se pueden presentar denuncias anónimas y confidenciales por correo electrónico a reports@lighthouse-services.com (debe incluir el nombre de la Empresa en el informe), a través del envío confidencial desde la web http://www.lighthouse-sercies.com/icumed o a través de la sección de Denuncias de gobernanza en nuestro sitio web de gobernanza corporativa en https://ir.icumed.com/governance.cfm. Un Representante de la Empresa también puede presentar denuncias confidenciales a su supervisor, a RR. HH., al Responsable de cumplimiento o al Asesor jurídico.

8.  Enmiendas a la Política

El Departamento Jurídico revisará esta Política al menos una vez al año y recomendará los cambios adecuados.

Le advertiremos de cualquier cambio cuando sea apropiado o necesario

9.  Excepciones y derivación a instancias superiores

Cualquier excepción a esta Política debe ser revisada y aprobada por el Departamento Jurídico. Todas las excepciones a esta Política deben aprobarse por escrito antes de implementarse.

El Departamento Jurídico es responsable de resolver las preguntas sobre la interpretación adecuada de esta Política, a la luz de los requisitos legales y normativos. El Departamento Jurídico es responsable de responder a las preguntas sobre la interpretación de esta Política.

Anexo A

Política global de privacidad – Anexo para Colombia

ICU MEDICAL COLOMBIA LIMITADA («ICU COLOMBIA»), con domicilio en Colombia, es una filial de ICU MEDICAL, INC (la «Empresa») con sede en los Estados Unidos.

Este Anexo tiene por objeto complementar la Política global de privacidad global («PGP») de la Empresa con el fin de incluir ciertos elementos que solo son aplicables en la medida en que se aplique la Ley colombiana de protección de datos. La Ley colombiana de protección de datos solo se aplica al tratamiento de datos personales en Colombia y al tratamiento de datos personales de Interesados en el extranjero que tengan su sede en Colombia, en determinadas circunstancias.

Los términos utilizados en el presente documento tendrán el significado que se les atribuye en la PGP, a menos que se defina otra cosa en el presente documento.

Término

Definición

Definiciones

En la medida en que se aplique la Ley colombiana de protección de datos, además de las definiciones proporcionadas en la sección «Definiciones» de la PGP, se aplicarán las siguientes definiciones; y en la medida en que exista una discrepancia en las «Definiciones», prevalecerán estas definiciones:

  1. Leyes de protección de datos: la legislación aplicable, en este caso, las leyes y normativas colombianas.
  2. Tratamiento de datos: cualquier operación o conjunto de operaciones sobre datos personales, como recogida, almacenamiento, uso, circulación o eliminación.
  3. Autorización: consentimiento informado previo y expreso del Interesado para tratar sus datos personales.
  4. Encargado del tratamiento: persona física o jurídica, pública o privada, que, por sí misma o en asociación con otras, trate los datos personales en nombre del Responsable del tratamiento.
  5. Responsable del tratamiento: persona física o jurídica, pública o privada, que, por sí misma o en asociación con otras, tenga poder de decisión sobre la base de datos o sobre el tratamiento de los datos.
  6. Interesado: toda persona viva con la que se relacionan los datos personales o los datos sensibles.
  7. Transferencia: se produce una Transferencia de datos cuando el Responsable del tratamiento o el Encargado del tratamiento, sitos en Colombia, envían la información o los Datos personales a un receptor, que también es un Responsable del tratamiento y se encuentra dentro o fuera del país.
  8. Transmisión: tratamiento de Datos personales que implica la comunicación de Datos personales, dentro o fuera de Colombia, con la finalidad de un Tratamiento de datos realizado por un Encargado del tratamiento en nombre de un Responsable del tratamiento.

Principios de la protección de datos

En la medida en que se aplique la Ley colombiana de protección de datos, además de los principios dispuestos en la sección «Principios de la protección de datos» de la PGP, se aplicarán los siguientes principios:

  1. Principio del Estado de Derecho relativo al tratamiento de datos: el Tratamiento previsto en virtud del Régimen colombiano de protección de datos (Leyes y reglamentos) es una actividad regulada que debe estar sujeta a sus disposiciones.
  2. Principio de la finalidad: el Tratamiento de datos debe responder a una finalidad legítima de acuerdo con la Constitución y la ley, de la que debe informarse al Interesado.
  3. Principio de libertad: el tratamiento solo puede ejercerse con el consentimiento informado, previo y expreso del Interesado y no puede obtenerse ni divulgarse sin su autorización, o si no existe un mandato legal o judicial que disculpe del consentimiento.
  4. Principio de confidencialidad: todas las personas implicadas en el tratamiento de Datos personales que no sean de carácter público deben garantizar la confidencialidad de la información.

Finalidad del tratamiento de datos personales y de datos personales sensibles

La información personal que recoja ICU COLOMBIA se tratará para los siguientes fines:

  1. Envío/tratamiento de información y documentos asociados con la relación comercial de los Interesados con ICU COLOMBIA.
  2. Aportación de información de contacto para el personal comercial o a la red de distribución de ICU COLOMBIA.
  3. Transmisión internacional de datos mediante el alojamiento en servidores externos.
  4. Transferencia internacional de datos mediante envío a otra filial o a cualquier otra entidad relacionada de ICU COLOMBIA.
  5. Transferencia de información, requisitos y notificaciones de ICU COLOMBIA a todos sus empleados, proveedores, contratistas y otros Interesados.
  6. Envío de boletines informativos, correos electrónicos y otros mensajes de datos, informando sobre promociones y eventos o actividades llevadas a cabo por ICU COLOMBIA.
  7. Envío de encuestas de opinión sobre satisfacción de los clientes, usuarios y clientes potenciales.
  8. Remisión de información para cumplir con los requisitos legales y los requisitos de las autoridades judiciales.
  9. Otros fines descritos en los formularios de consentimiento.

Bases para el tratamiento de datos personales

En la medida en que se aplique la Ley colombiana de protección de datos, los Datos personales y los Datos personales sensibles estarán sujetos a los siguientes requisitos:

Datos personales
Las bases jurídicas del tratamiento de Datos personales son las especificadas en los Artículos 9 y 10 de la Ley 1581 de 2012.

Datos personales sensibles
Las bases jurídicas para el tratamiento de Datos personales sensibles son las especificadas en el artículo 6 de la Ley 1581 de 2012.>

Consentimiento

Los criterios de consentimiento mencionados en la PGP serán aplicables en virtud de este Anexo, junto con los siguientes criterios adicionales:

  1. El tratamiento de Datos personales y de Datos personales sensibles requiere el consentimiento informado, previo y expreso del interesado.
  2. Los Responsables del tratamiento establecerán mecanismos para obtener la autorización de los Interesados o de las personas que tengan derecho, de conformidad con las disposiciones del artículo 20 del Decreto 1377 de estos mecanismos, y pueden incluir medios técnicos que puedan facilitar al Encargado del tratamiento la obtención del consentimiento automatizado. Debe entenderse que la autorización cumple con estos requisitos cuando se proporciona (i) por escrito, (ii) oralmente o (iii) mediante el comportamiento inequívoco del Interesado que lleva a la conclusión razonable de que la autorización se concedió. En ningún caso el silencio puede entenderse como un comportamiento inequívoco.
  3. El formulario de consentimiento debe incluir una casilla específica para autorizar la recogida, el Tratamiento y la Transferencia de datos personales sensibles. Dicha casilla debe ser diferente de la utilizada para dar el consentimiento a la recogida de Datos personales no sensibles.

Información sobre tratamiento justo

La información que se debe proporcionar al Interesado a la que se hace referencia en la PGP será aplicable en virtud de este Anexo, junto con la siguiente información adicional:

  1. Nombre o denominación social, domicilio, dirección, correo electrónico y número de teléfono del Responsable del tratamiento.
  2. Derechos que puede ejercer el interesado.
  3. Persona o área responsable de atender las solicitudes, consultas y quejas por medio de las cuales el Interesado puede ejercer sus derechos de conocimiento, actualización, rectificación y eliminación de los datos y revocar la autorización.
  4. Procedimiento para que los Interesados ejerzan sus derechos de conocimiento, actualización, rectificación y eliminación de la información y revoquen la autorización.

Transferencia/transmisión de datos con terceros

En la medida en que se aplique la Ley colombiana de protección de datos, se debe tener en cuenta lo siguiente:

Cuando ICU COLOMBIA indique a un tercero que trate los Datos personales en nombre de ICU COLOMBIA (Transmisión de datos) o para sus propios fines (Transferencia de datos), el tercero debe formalizar un acuerdo por escrito con ICU COLOMBIA. Los acuerdos deben incluir una serie de disposiciones exigidas por los Artículos 24 y 25 del Decreto 1377 de 2013 sobre acuerdos de transferencia y transmisión internacional de datos personales.

Además de lo anterior, en el caso de las transmisiones, el Responsable del tratamiento solo tiene que revelar al Interesado que existe la posibilidad de compartir datos con terceros encargados del tratamiento e indicar si estos encargados del tratamiento están ubicados en el extranjero en el momento de obtener el consentimiento. En este caso, existe la obligación de revelar la posibilidad de una transmisión, pero no es necesario obtener el consentimiento previo y expreso para compartir los Datos personales con el encargado del tratamiento externo que ha suscrito un acuerdo de transmisión de conformidad con las leyes aplicables en Colombia.

A diferencia de esto, en el caso de la transferencia, el Responsable del tratamiento compartirá los datos con un nuevo Responsable del tratamiento. Por lo tanto, debe obtener el consentimiento del Interesado para compartir estos datos con el nuevo Responsable del tratamiento y también debe informar de la política de privacidad que se aplicará (es decir, la del nuevo Responsable del tratamiento). Los respectivos acuerdos deben reflejar estas condiciones, entre otros requisitos.

Transferencias internacionales de datos personales

En la medida en que se aplique la Ley colombiana de protección de datos, se debe tener en cuenta lo siguiente:

De acuerdo con la Ley 1581 de 2012, el Decreto 1377 de 2013 y sus normas y reglamentos aplicables, los Datos personales, independientemente de su naturaleza, solo pueden transferirse a países que ofrezcan niveles suficientes de protección de datos. Se considera que un país ofrece niveles suficientes de protección de datos en la medida en que cumple con las normas aplicables establecidas por la Superintendencia de Industria y Comercio («SIC»). Las normas anteriores no pueden establecer en ningún caso unas obligaciones que sean inferiores a las que se incluyen en el Régimen colombiano de protección de datos.

Esta prohibición no se aplicará a lo siguiente:

  1. Información cuya transferencia el Interesado ha autorizado de forma expresa e inequívoca.
  2. Intercambio de datos médicos cuando así lo requiera el Tratamiento de datos del Interesado por motivos de salud pública.
  3. Transferencias bancarias o de mercado de acuerdo con lo aplicable
  4. Transferencias acordadas en virtud de acuerdos internacionales de los que la República de Colombia es parte sobre la base del principio correspondiente
  5. Transferencias necesarias para formalizar un contrato entre el Interesado y el Responsable del tratamiento, o bien para la ejecución de medidas contractuales futuras siempre que el Interesado haya otorgado su consentimiento.

Derechos del interesado

En la medida en que se aplique la Ley colombiana de protección de datos, los Interesados colombianos tienen una serie de derechos legales en relación con sus Datos personales. Estos derechos incluyen los siguientes:

  1. Acceso, actualización y corrección de sus Datos personales ante el Responsable del tratamiento o el Encargado del tratamiento, si los datos son parciales, inexactos, incompletos, divididos o engañosos, o el tratamiento está prohibido o no está autorizado.
  2. Solicitud de prueba del consentimiento otorgado.
  3. Pregunta sobre el uso o el tratamiento que se ha hecho de sus Datos personales
  4. Presentación de quejas ante la Superintendencia de Industria y Comercio
  5. Revocación del consentimiento o solicitud de eliminación de los datos en caso de haberse infringido los principios, cuando la Superintendencia de Industria y Comercio determine que el tratamiento por parte del Responsable del tratamiento o del Encargado del tratamiento fue contrario a la ley y a la Constitución colombiana.

Procedimiento de consulta

En cualquier momento y sin coste alguno, el Interesado o sus sucesores pueden consultar sus Datos personales que obran en poder de ICU COLOMBIA. La consulta debe enviarse al correo electrónico del Delegado de protección de datos, que debe estar disponible públicamente para los Interesados. ICU COLOMBIA responderá a todas las consultas en un plazo de diez (10) días hábiles a partir de la recepción de la consulta. Si ICU COLOMBIA no puede responder dentro de este plazo, se informará al Interesado de dicha circunstancia, de los motivos del retraso y de la fecha en la que se responderá a la consulta,

que debe ser dentro de los cinco (5) días hábiles posteriores al vencimiento del plazo inicial.

Procedimiento de reclamaciones

Si el Interesado o sus sucesores consideran que sus Datos personales que obran en poder de ICU COLOMBIA deben ser enmendados, actualizados o eliminados, o si tienen alguna reclamación relacionada con sus Datos personales que obran en poder de ICU COLOMBIA o el tratamiento de sus Datos personales por parte de la Empresa, pueden presentar una reclamación en los siguientes términos:

  1. La reclamación debe presentarse utilizando el formato preparado por ICU COLOMBIA para estas finalidades.
  2. La reclamación debe contener al menos la siguiente información: (i) identificación adecuada del Interesado; (ii) descripción de los acontecimientos que originaron la reclamación; (iii) datos de contacto del Interesado y (iv) cualquier documento que el interesado considere pertinente para la reclamación. Si en la reclamación falta alguna parte de esta información, en un plazo de cinco (5) días hábiles desde que se reciba la reclamación, ICU COLOMBIA debe solicitar al Interesado que actualice el formato de la reclamación con la información faltante.
    En un plazo de dos (2) días hábiles desde que se reciba una reclamación completa, se debe insertar una notificación en la base de datos que contiene los datos personales del Interesado de la reclamación, indicando que se está tramitando una reclamación relacionada con la información incluida en dicha base de datos. También debe insertarse una breve explicación de la reclamación en la base de datos correspondiente, hasta que se resuelva la reclamación.
  3. ICU COLOMBIA tendrá un plazo de quince (15) días hábiles desde el día en que se reciba la reclamación completa para dar una respuesta al interesado. Si ICU COLOMBIA no puede responder dentro de este plazo, debe informar al Interesado de dicha circunstancia, de los motivos del retraso y de la fecha en que se responderá a la reclamación, que debe ser en el plazo de ocho (8) días hábiles posteriores al vencimiento del plazo inicial.
    Si ICU COLOMBIA recibe una reclamación que debería haberse dirigido a otra entidad, enviará la reclamación a la entidad correspondiente e informará al Interesado de esta situación.

Delegado de protección de datos

Como se menciona en la PGP, ICU COLOMBIA debe designar y tener en todo momento un Delegado de protección de datos que desempeñe las siguientes obligaciones:

  1. Responder a consultas y reclamaciones de Interesados: el Delegado de protección de datos será responsable de responder a todas las consultas y reclamaciones de los Interesados o sus sucesores relacionadas con la tenencia de sus Datos personales por parte de ICU COLOMBIA y el tratamiento de sus Datos personales.
  2. Proporcionar asistencia y apoyo a otras áreas de la Empresa: cualquier pregunta en ICU COLOMBIA relacionada con el tratamiento de datos personales debe ser abordada y respondida por el Departamento de Protección de Datos
  3. Gestión de riesgos: cualquier situación que derive o pueda derivar en una infracción de la seguridad de los Datos personales debe ser comunicada al Delegado de protección de datos, que será responsable de preparar e implementar un plan para gestionar y resolver la infracción o posible infracción de la seguridad.
  4. Mantener y actualizar los registros relacionados con la protección de datos y presentar las declaraciones ante las autoridades: el Delegado de protección de datos debe asegurarse de que (i) la información de ICU COLOMBIA y sus Interesados incluida en el Registro nacional de bases de datos gestionadas por la SIC se mantenga y actualice adecuadamente; (ii) cualquier nueva base de datos creada por ICU COLOMBIA que contenga Datos personales se registre adecuadamente en la SIC; (iii) se informe adecuadamente a la SIC de las reclamaciones presentadas por los Interesados; y (iv) se informe adecuadamente a la SIC de cualquier incidente de seguridad relacionado con los Datos personales.
Responsable del tratamiento de datos

El Responsable del tratamiento de los datos personales en Colombia es ICU MEDICAL COLOMBIA LIMITADA, identificada con NIT 830143035-2, con domicilio en la ciudad de Bogotá-Colombia, en Avenida Carrera, 72, n.º 80-94.

Todas las solicitudes relativas al Tratamiento de Datos personales se enviarán por correo electrónico a habeasdatacolombia@icumed.com.

Información de contacto para denuncias y del Delegado de protección de datos

Puede denunciar cualquier inquietud a través de una línea directa anónima y confidencial, en el 1-844-330-0007. También se pueden presentar denuncias anónimas y confidenciales por correo electrónico a reports@lighthouse-services.com (debe incluir el nombre de la Empresa en el informe), a través del envío confidencial desde la web https://www.lighthouse-services.com/icumed, o a través de la sección de Denuncias de Gobernanza de nuestro sitio web de gobernanza corporativa en https://ir.icumed.com/corporate-governance. Para ponerse en contacto con el Delegado de protección de datos, puede enviar un correo electrónico a: ethicsandcompliance@icumed.com.

Fecha de entrada en vigor

El Anexo al que se hace referencia en este documento entrará en vigor el 1 de julio de 2020, pero podrá modificarse en cualquier momento, en cuyo caso el correspondiente cambio se comunicará a los Interesados.

Anexo B

Política de privacidad global – Anexo para México

En la medida en que se apliquen las leyes o normativas mexicanas de protección de datos, se aplicarán los siguientes elementos y disposiciones básicos adicionales específicos de México, que prevalecerán sobre las disposiciones contradictorias de la Política global de privacidad existente.

Término

Definición

Definiciones

  1. «Ley de protección de datos»se refiere a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (o FDPL) y sus reglamentos de implementación.
  2. «Datos personales sensibles» se refiere a cualquier dato genético, biométrico y relacionado con la salud, así como a datos personales que revelen origen racial y étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical o datos relativos a la vida sexual u orientación sexual de una persona. Son muy importantes porque están sujetos a un mayor nivel de protección y deben tratarse con medidas de seguridad adicionales.

Principios de la protección de datos

Además de los principios proporcionados en la Sección ¡Error! Fuente de referencia no encontrada., las disposiciones de la ley mexicana de protección de datos establecen unos principios fundamentales relacionados con el tratamiento de datos personales, a saber:

  1. Consentimiento: el tratamiento y la transferencia de datos personales se basan en el consentimiento explícito por parte del Interesado para el tratamiento y la transferencia de datos personales sensibles, financieros o inmobiliarios. Antes de dar su consentimiento, se informará al interesado al respecto. Como excepción a las normas generales, no se requiere consentimiento para la transferencia de datos entre nuestra organización y un encargado del tratamiento de datos, siempre que exista un acuerdo de tratamiento de datos.
  2. Limitación de la finalidad: los datos personales se recogerán para fines específicos, explícitos y legítimos, según se establece en el Aviso de privacidad correspondiente. El tratamiento posterior para otras finalidades incompatibles con las iniciales necesitará un consentimiento específico para la nueva finalidad.
  3. Principio de minimización: el tratamiento será adecuado, pertinente y limitado a lo necesario en relación con las finalidades del tratamiento.
  4. Principio de fidelidad: los datos personales se tratarán de forma que se garantice la seguridad adecuada de dichos datos personales, dando prioridad a la protección de los intereses del interesado.
Aviso de privacidad

Nuestra organización debe registrar nuestras finalidades de recogida y tratamiento y especificarlas en un documento para los interesados. En virtud de la legislación mexicana, un Aviso de privacidad de datos adecuado debe contener, como mínimo, la siguiente información:

  1. Nuestra identidad, dirección (incluyendo calle, número, ciudad y código postal) y datos de contacto.
  2. Finalidades del tratamiento al que están destinados los datos personales.
  3. Categorías de datos personales afectadas.
  4. Información específica sobre nuestro tratamiento de datos personales sensibles.
  5. La existencia del derecho a retirar el consentimiento para seguir tratando los datos personales para una finalidad distinta a aquella para la que se recogieron los datos personales (p. ej., fines de marketing).
  6. Cuando proceda, nuestra intención de transferir datos personales a un tercero en México o en un tercer país.
  7. Modalidades para el ejercicio de los derechos del interesado.
  8. De qué forma el interesado puede retirar su consentimiento para el tratamiento de datos
  9. Medios para ejercer el derecho a solicitar a la Empresa la limitación del tratamiento o la divulgación en relación con el interesado.
  10. Política de cookies que proporciona información sobre los tipos de cookies activas en nuestro sitio web, qué datos rastrean y con qué fin, a qué lugar del mundo se envían los datos, e instrucciones detalladas sobre cómo pueden establecer sus preferencias de cookies.
  11. Datos de contacto de nuestro Delegado o departamento de protección de datos.
  12. Procedimientos y medios para comunicar cambios en nuestro Aviso de privacidad.

Esta información se proporcionará por escrito o por otros medios, incluidos, cuando proceda, medios electrónicos.

Condiciones para el consentimiento

El tratamiento de datos personales será lícito solo en el supuesto y en la medida en que el interesado haya dado su consentimiento al tratamiento de sus datos personales para una o más finalidades específicas.

La Empresa está obligada a obtener una declaración de consentimiento expresa por parte del interesado, por ejemplo, una declaración por escrito, cuando lo exija la ley para el tratamiento de datos personales sensibles, datos financieros o patrimoniales del interesado.

Sin embargo, un interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la legalidad del tratamiento basado en el consentimiento antes de su retirada.

La FDPL permite obtener el consentimiento expreso por escrito a través de medios tecnológicos (incluidos los botones o casillas «Acepto»), siempre que no se hayan seleccionado previamente. Las principales normas relacionadas con el consentimiento pueden resumirse de la siguiente manera:

  1. Se requiere la aceptación para la recogida de datos personales sensibles.
  2. Se requiere la aceptación para la recogida de datos financieros o relacionados con el patrimonio personal.
  3. Las casillas de verificación para obtener el consentimiento no deben estar marcadas previamente.
  4. No se requiere consentimiento en ciertos casos excepcionales establecidos en la FDPL, incluida la recogida de datos para la ejecución de un contrato.
  5. Tratamiento de datos no esenciales: el texto del Aviso de privacidad debe diferenciar entre aquellos fines de tratamiento de datos que son necesarios para la existencia, mantenimiento y cumplimiento de la relación legal entre nuestra organización y el interesado, que hacen que exista la relación, y aquellos fines que no son esenciales (p. ej., tratamiento de datos personales para fines de marketing directo).
  6. Regla de exclusión previa: en el caso de finalidades de tratamiento innecesarias o secundarias, el Aviso de privacidad debe incluir un mecanismo para que el interesado ejerza el derecho a retirar el consentimiento para el tratamiento de datos para tal finalidad.
Exenciones del consentimiento

Nuestra organización no está obligada a obtener el consentimiento para el tratamiento de datos personales cuando:

  1. los datos personales deban ser tratados por ley, por cualquier autoridad gubernamental o de otro tipo, o por un tribunal u otra autoridad de jurisdicción competente;
  2. el tratamiento esté relacionado con datos personales que son de dominio público;
  3. los datos personales estén sujetos a un proceso de desagregación;
  4. el tratamiento sea necesario para la ejecución de un contrato del que la Empresa y el interesado sean partes;
  5. el tratamiento sea necesario para proteger los intereses vitales de una persona;
  6. el tratamiento sea necesario para fines de medicina preventiva u ocupacional, diagnóstico médico, prestación de atención sanitaria o tratamiento o gestión de sistemas y servicios de salud, cuando el interesado tenga una incapacidad física o legal para dar su consentimiento.
Derechos del interesado

Facilitaremos el ejercicio de los derechos del interesado y no nos negaremos a actuar ante la petición del interesado de ejercer los siguientes derechos: (i) derecho de acceso a los datos personales almacenados por nosotros, y a obtener información sobre nuestras prácticas de tratamiento; (ii) derecho de rectificación de los datos personales inexactos relativos al interesado; (iii) derecho a solicitar la eliminación de los datos personales si los datos no se están tratando en virtud de la ley o si ya no son necesarios; y (iv) derecho de oposición en cualquier momento al tratamiento de datos personales que le conciernen, cuando se base en motivos legítimos o para un fin específico. Estos derechos se conocen como «Derechos ARCO».

Los interesados tendrán derecho a retirar su consentimiento en cualquier momento para el tratamiento de sus datos personales.

Además, proporcionaremos a los interesados más información sobre su derecho a presentar una reclamación ante la autoridad de control.

Comunicación de una violación de la seguridad de los datos personales

Cuando sea probable que la violación de la seguridad de los datos personales derive en un riesgo alto para los derechos de las personas, nuestra organización comunicará la violación de la seguridad de los datos personales al interesado sin demora indebida. En la comunicación al interesado deberán describirse al menos la naturaleza de la violación de la seguridad de los datos personales, los datos personales implicados, las medidas recomendadas que debe tomar el interesado para proteger sus intereses, las medidas adoptadas o propuestas por la Empresa para abordar la violación de la seguridad de los datos personales, y el nombre y los datos de contacto de nuestro Delegado de protección de datos u otro punto de contacto dentro de nuestra organización donde se pueda obtener más información.

Delegado/departamento de protección de datos

Nuestra organización está obligada a designar y nombrar a un empleado o departamento como Delegado o departamento de protección de datos, respectivamente. Este Delegado o departamento de protección de datos será responsable de actuar ante las solicitudes de los interesados.