1. Panoramica e obiettivi

La protezione dei dati personali, così come il rispetto delle leggi e dei regolamenti sulla privacy e sulla protezione dei dati, è importante per la nostra organizzazione e le sue affiliate (“noi”, “ci”, la “Società”). Prendiamo seriamente questo impegno e miriamo a garantire i diritti alla privacy dei nostri dipendenti, contatti commerciali e clienti quando gestiamo le informazioni che li riguardano

La presente Politica globale sulla privacy (la presente “Politica”) stabilisce un quadro di governance completo per la gestione dei rischi per la privacy e la protezione dei dati. Nello specifico, gli Allegati A e B della presente Politica riguardano determinati requisiti previsti, rispettivamente, dalla legislazione colombiana e messicana, come indicato nei relativi Allegati.

La presente Politica, insieme agli eventuali Allegati e ai documenti di supporto, definisce i processi e gli strumenti che consentono di adottare un approccio coerente alla gestione dei rischi per la privacy a livello di tutta l'organizzazione. La protezione dei dati personali di dipendenti, contatti commerciali e clienti è fondamentale per preservare la loro fiducia.

In particolare, la presente Politica:

  1. stabilisce i principi di protezione dei dati che sono alla base del nostro quadro globale sulla privacy;
  2. identifica e spiega i ruoli e le responsabilità in materia di protezione dei dati;
  3. istituisce il Programma per la privacy;
  4. identifica le politiche, le procedure e gli standard interni che supportano questa Politica e, insieme a essa, costituiscono il quadro di riferimento della nostra organizzazione in materia di privacy; e
  5. stabilisce un elenco (non esaustivo) dei requisiti a cui dipendenti, appaltatori, consulenti e chiunque ci fornisca supporto o servizi devono attenersi al fine di preservare la riservatezza e la sicurezza dei dati personali che gestiscono.

La presente Politica non fornisce un elenco esaustivo dei comportamenti consentiti o vietati, né stabilisce ogni regola applicabile. Essa non sostituisce la responsabilità di esercitare un buon giudizio aziendale e la dovuta diligenza. Gli individui devono continuare a richiedere consulenza adeguata attraverso i canali appropriati in relazione a eventuali preoccupazioni e problemi specifici che non sono specificamente affrontati nella presente Politica.

2. Ambito e applicazione

La presente Politica si applica a tutti i direttori, manager, dipendenti, appaltatori, consulenti e chiunque altro supporti o presti servizio all'interno della nostra organizzazione in relazione a tutte le nostre operazioni in tutto il mondo che comportano il trattamento di dati personali.

Rispettare la presente politica è responsabilità di ogni direttore, manager, dipendente, appaltatore, consulente e di chiunque altro supporti o fornisca servizi alla nostra organizzazione. Il riconoscimento e la comprensione di questa Politica sono richiesti tramite contratti e formazione obbligatoria. La mancata osservanza di questa politica può costituire una violazione dei termini di impiego e può portare ad azioni disciplinari fino alla risoluzione del contratto di lavoro o di servizi.

L’alta dirigenza è in ultima analisi responsabile di garantire il rispetto della presente Politica. L’Ufficio legale, in coordinamento con l’Ufficio di audit interno, è responsabile del monitoraggio della conformità alla presente Politica. 

Definizioni

Termine

Definizione

Soggetto/i o individuo/i:

qualsiasi persona vivente a cui si riferiscono i dati personali o sensibili. Esempi di soggetti interessati sono i consumatori, i contatti commerciali e i dipendenti, gli appaltatori, i consulenti e chiunque altro fornisca assistenza o servizi alla Società.

Leggi sulla protezione dei dati:

tutte le leggi, i regolamenti, i requisiti normativi e i codici di condotta applicabili relativi alla protezione delle persone in merito al trattamento dei dati personali, compresa la sicurezza delle informazioni.

Violazione o incidente dei dati:

qualsiasi evento reale o sospetto in cui la sicurezza, la riservatezza, l'integrità o la disponibilità dei dati personali sia stata o possa essere compromessa, con conseguente distruzione accidentale, illegale o non autorizzata, perdita, alterazione, divulgazione o accesso ai dati personali, o qualsiasi altro uso illegale dei dati personali (ad es., un'e-mail con dati personali viene inavvertitamente inviata ai destinatari sbagliati; un documento cartaceo contenente dati personali viene smarrito o rubato; un attacco informatico è stato effettuato da hacker; un computer portatile di lavoro viene smarrito o rubato).

Trattamento dei dati:

qualsiasi uso dei dati personali da parte della nostra organizzazione (o di una terza parte per conto nostro), compresa la raccolta, la condivisione e l’archiviazione dei dati. Anche la semplice conservazione dei dati rappresenta un trattamento.

Dati personali:

qualsiasi informazione relativa a un individuo che lo identifica o che potrebbe ragionevolmente essere utilizzata per identificarlo, indipendentemente dal mezzo coinvolto (ad es. cartaceo, elettronico, video, audio). Esempi di dati personali includono dati di contatto, dati finanziari, password, indirizzi IP, immagini, cronologia delle ricerche online, informazioni sulla geolocalizzazione. Salvo diversa indicazione, i dati personali sono destinati a includere dati sensibili (come definiti di seguito).

Dati personali sensibili:

dati personali relativi all’origine razziale o etnica, opinioni politiche, credenze religiose o simili, appartenenza a sindacati, salute o condizione fisica o mentale, vita sessuale, dati genetici (ad es. sequenza genica di un individuo), dati biometrici (ad es. impronte digitali, riconoscimento facciale, scansioni della retina), reati commessi o che si presume siano stati commessi.

3. Principi di protezione dei dati

Le operazioni aziendali della nostra organizzazione devono sempre essere coerenti con i Principi di protezione dei dati indicati di seguito. Questi principi sono vincolanti per tutte le nostre attività.

  1. Trattamento lecito, equo e trasparente
    La nostra organizzazione utilizza i dati personali solo in modo lecito, equo e trasparente.

    Rispettiamo le leggi sulla protezione dei dati e sulla privacy in ciascuna delle giurisdizioni in cui operiamo. Ove richiesto dalla legge, ci impegniamo inoltre ad aiutare le persone a comprendere quali informazioni raccogliamo, come le utilizziamo e quali scelte hanno a disposizione. Spieghiamo ciò ai dipendenti, agli appaltatori, ai consulenti e ad altri lavoratori, consumatori e contatti commerciali in modo semplice e chiaro nelle nostre informative sulla privacy. Rivediamo regolarmente le nostre informative sulla privacy per mantenerle aggiornate e per garantire che corrispondano alle nostre pratiche interne.

  2. Limitazione delle finalità
    Raccogliamo dati personali solo per finalità specifiche, chiare e legittime e raccogliamo solo i dati personali necessari per raggiungere tali finalità. Sebbene i dati personali ci aiutino a migliorare i servizi che forniamo, li utilizziamo solo in modo proporzionato a obiettivi chiari.

  3. Accuratezza dei dati
    Adottiamo misure per garantire che i dati personali in nostro possesso siano accurati, aggiornati e pertinenti alle finalità per le quali vengono raccolti.

  4. Conservazione dei dati
    Conserviamo i dati personali in forma identificabile solo per il tempo necessario alle finalità per cui li utilizziamo.

  5. Diritti delle persone
    Siamo pienamente impegnati a facilitare i diritti alla privacy delle persone in relazione al nostro trattamento dei loro dati personali, in conformità con le leggi applicabili.

  6. Sicurezza delle informazioni
    Adottiamo misure fisiche, tecniche e organizzative appropriate per mantenere i dati personali al sicuro e garantirne l’integrità, la riservatezza e la disponibilità in tutti i sistemi in qualsiasi momento.

    Inoltre, ci impegniamo a garantire che i nostri venditori e fornitori che potrebbero trattare i dati personali per nostro conto preservino la riservatezza, l’integrità e la disponibilità di tali dati.

  7. Trasferimenti internazionali di dati personali
    La nostra organizzazione è un’azienda globale e, in quanto tale, dobbiamo trasferire informazioni a livello internazionale. Siamo impegnati a garantire l'esistenza di garanzie adeguate, come richiesto dalle leggi vigenti, per proteggere i dati personali che trasferiamo in paesi che non dispongono di leggi adeguate in materia di protezione dei dati.

  8. Responsabilità
    Siamo tutti responsabili di rispettare i principi di protezione dei dati e rispettare i diritti alla privacy individuali. Abbiamo il dovere collettivo e individuale di proteggere i dati personali dei nostri dipendenti, appaltatori, consulenti e altri lavoratori, consumatori e partner commerciali. Al fine di creare un ambiente di fiducia e di rispettare le leggi applicabili in materia di protezione dei dati, tutti gli individui che operano all'interno o per conto della nostra organizzazione devono rispettare le nostre politiche sulla privacy e aiutare l'organizzazione a mantenere i propri impegni in materia di protezione dei dati personali.

4. Ruoli e responsabilità

Diversi stakeholder a vari livelli aziendali all'interno della nostra organizzazione svolgono un ruolo nel garantire la gestione complessiva del rischio di privacy e la conformità alla protezione dei dati. I seguenti uffici e dipendenti sono stati identificati come ruoli e responsabilità specifici:

  • L'ufficio legale è responsabile della promozione e della conformità alla privacy, della supervisione del programma generale di gestione della privacy e della conformità, della risposta alle domande e alle richieste degli interessati, della risposta alle richieste normative in materia di protezione dei dati, del collegamento con il reparto informatico, ove necessario, per garantire la sicurezza delle informazioni, che è una parte fondamentale della protezione dei dati personali.
  • Il reparto IT è responsabile della salvaguardia e del monitoraggio delle nostre reti e dei nostri sistemi interni e, in particolare, di garantire che i dati personali archiviati, trasferiti, accessibili e utilizzati attraverso queste reti e sistemi siano adeguatamente protetti contro le violazioni dei dati. Il reparto IT è anche responsabile della partecipazione ad alcune importanti attività di protezione dei dati, come la Valutazione d’impatto sulla protezione dei dati (Data Protection Impact Assessment, “DPIA”).
  • L’Ufficio Risorse Umane è responsabile del trattamento corretto dei dati personali di dipendenti, appaltatori, consulenti e chiunque fornisca servizi e supporti e in conformità alle leggi applicabili. L’Ufficio Risorse Umane è inoltre responsabile di rispondere alle richieste di dipendenti, appaltatori, consulenti e altri lavoratori per l’esercizio dei loro diritti di protezione dei dati e di inoltrare qualsiasi ulteriore richiesta o reclamo all’Ufficio legale. L’Ufficio Risorse Umane deve inoltre informare l’Ufficio legale in merito alle nuove attività di trattamento che hanno un impatto sui dati personali di dipendenti, appaltatori, consulenti e altri lavoratori. L’Ufficio Risorse Umane deve essere coinvolto nell’esecuzione di DPIA di nuove attività di trattamento delle risorse umane, nell’aggiornamento delle informative sulla privacy a dipendenti, appaltatori, consulenti e altri lavoratori e nel renderli consapevoli dei loro doveri e responsabilità in materia di protezione dei dati personali (inclusa la presente Politica).

Inoltre, qualsiasi funzione aziendale che tratta i dati personali è responsabile di:

  • gestire il rischio per la privacy relativo al trattamento effettuato dalla funzione;
  • consultare l’Ufficio legale quando richiesto dalle politiche e procedure interne;
  • garantire la sicurezza dei dati personali che tratta; e
  • gestire e segnalare eventuali incidenti di privacy come richiesto.

Tutti i direttori, i manager, i dipendenti, gli appaltatori, i consulenti e i lavoratori hanno la responsabilità di preservare la riservatezza dei dati personali che utilizzano e di gestire queste informazioni in modo sicuro e in conformità con la presente Politica e qualsiasi altra politica, procedura e standard di supporto (come identificato di seguito in "Quadro normativo").

5.  Programma sulla privacy

Il nostro Ufficio legale supervisionerà il nostro programma sulla privacy, che fornisce un approccio completo e coordinato alla gestione dei rischi per la privacy, soddisfacendo al contempo le esigenze e le strategie aziendali. Il nostro Programma sulla privacy comprende, come minimo, i seguenti componenti:

  • Quadro normativo
  • Conformità legale
  • Sportello unico
  • Documentazione della conformità alla protezione dei dati (decisioni, implementazione e audit)
  • Registri delle attività di trattamento
  • Valutazione d’impatto sulla protezione dei dati
  • Gestione dei rischi per la privacy dei fornitori
  • Formazione sulla protezione dei dati
  • Gestione delle violazioni dei dati
  • Diritti degli interessati
    1. Quadro normativo
      La nostra organizzazione deve operare sempre in conformità con la presente Politica, il Codice di condotta ed etica aziendale e tutte le politiche, procedure e standard interni relativi alla privacy come la Politica sulle tecnologie dell’informazione per l’uso accettabile, la Politica sulla classificazione e gestione dei dati, la Politica sulla risposta agli incidenti e le informative sulla privacy per il personale, gli utenti online e altre persone. Si noti che queste politiche possono, di volta in volta, essere aggiornate o sostituite e l’ambito dell’elenco di seguito può essere ampliato a politiche aggiuntive.

    2. Conformità legale
      L’Ufficio legale manterrà sempre processi che consentono alla nostra organizzazione di comprendere e rispettare i requisiti legali in materia di protezione dei dati, come la fornitura di informative sulla privacy agli interessati e l’ottenimento del consenso al trattamento dei dati quando necessario. L’Ufficio legale garantirà che le leggi sulla privacy siano affrontate in modo coerente in tutta la regione in cui si applicano tali leggi.

    3. Sportello unico
      L’Ufficio legale, insieme all’alta dirigenza determinerà dove potrebbe essere situata la nostra sede principale in base alle nostre attività di trattamento dei dati per identificare l’autorità di controllo principale all’interno dell’Unione europea per il trattamento transfrontaliero. La decisione deve essere documentata. L’Ufficio legale monitorerà attentamente l’autorità di controllo principale per indicazioni e altri risultati emessi e comprenderà le priorità di applicazione.

    4. Documentazione della conformità alla protezione dei dati (decisioni, implementazione e audit)
      L’Ufficio legale, supportato dalle funzioni aziendali interessate, creerà e manterrà registri delle decisioni e delle azioni intraprese verso la gestione del rischio per la privacy e la conformità alle leggi sulla protezione dei dati. Ciò consentirà inoltre una collaborazione efficace con le autorità di regolamentazione come e quando richiesto e consentirà alla nostra organizzazione di documentare e dimostrare la propria conformità alla privacy in ogni momento.

      Laddove le decisioni e le azioni relative alla privacy siano prese a livello regionale o aziendale, le politiche e le procedure pertinenti stabiliranno la proprietà e la responsabilità di mantenere registri appropriati.

      L’Ufficio legale sarà inoltre responsabile di garantire e supervisionare lo sviluppo di eventuali documenti aggiuntivi che potrebbero essere necessari per dimostrare la conformità ai sensi delle leggi applicabili in materia di protezione dei dati (ad es. moduli di consenso, comunicazioni agli interessati, registro delle violazioni dei dati personali).

    5. Registri delle attività di trattamento
      L’Ufficio legale raccoglierà in un documento l’elenco di tutte le attività di trattamento all’interno della nostra organizzazione in un determinato momento; questo documento sarà aggiornato periodicamente per riflettere i cambiamenti nelle operazioni aziendali. L’Ufficio IT, l’Ufficio Risorse Umane e qualsiasi altra funzione aziendale coinvolta nel trattamento dei dati personali devono contribuire alla registrazione delle attività di trattamento (fornendo informazioni pertinenti come le finalità di utilizzo dei dati e i trasferimenti di dati).

    6. Valutazione d’impatto sulla protezione dei dati
      L’Ufficio legale stabilirà linee guida e procedure per eseguire DPIA in relazione a nuovi prodotti, tecnologie e operazioni aziendali, ove richiesto dalle leggi applicabili o laddove ciò sembri appropriato per gestire il rischio per la privacy. Le DPIA richiederanno l’input e il coinvolgimento delle funzioni aziendali pertinenti.

    7. Gestione dei rischi per la privacy dei fornitori
      La gestione dei rischi per il coinvolgimento di fornitori terzi che trattano i dati personali per conto nostro (“responsabili del trattamento dei dati”) è fondamentale per garantire la nostra conformità in materia di protezione dei dati. L’Ufficio legale fornirà linee guida e qualsiasi contenuto sulla privacy necessario per la valutazione del rischio di terze parti, mantenendolo aggiornato secondo necessità per affrontare i rischi emergenti per la privacy. I rischi associati a una terza parte devono essere inoltrati all’Ufficio legale.



      In particolare, l’Ufficio legale garantirà che:
      • qualsiasi responsabile del trattamento dei dati sia soggetto a un’adeguata due diligence sulle sue misure di sicurezza delle informazioni prima di essere selezionato come partner commerciale;
      • sia in vigore un accordo di trattamento appropriato con qualsiasi responsabile del trattamento dei dati che imponga obblighi di protezione dei dati al responsabile del trattamento dei dati; e
      • il rispetto da parte del responsabile del trattamento dei dati del contratto di trattamento e della legge applicabile venga monitorato periodicamente.

    8. Formazione sulla protezione dei dati
      La formazione sulla protezione dei dati farà parte del piano annuale di formazione sulla conformità e sarà obbligatoria per il personale pertinente al momento dell’ingresso in azienda e successivamente su base regolare. L’Ufficio legale garantirà che i contenuti della formazione siano sempre aggiornati e appropriati alle operazioni aziendali della nostra organizzazione. Il completamento della formazione sarà monitorato e documentato (ad es. registro della formazione).

    9. Gestione delle violazioni dei dati
      Tutte le funzioni aziendali sono responsabili del monitoraggio delle operazioni aziendali per gli incidenti relativi alla sicurezza dei dati personali, della loro acquisizione in modo tempestivo e coerente e dell’esecuzione di strategie di mitigazione del rischio appropriate.

      Tutti i dipendenti e le funzioni aziendali sono responsabili di segnalare immediatamente qualsiasi violazione dei dati effettiva o sospetta secondo la nostra Politica di risposta agli incidenti. Qualsiasi ufficio e/o funzione aziendale pertinente è tenuta a prendere parte alla gestione delle violazioni in base a tale politica.

      L’Ufficio legale, in collaborazione con il reparto IT, garantirà che gli incidenti noti e gli eventi di rischio siano identificati, valutati e corretti in modo appropriato e valuterà le tendenze in modo da poter affrontare le cause principali. L’Ufficio legale gestirà anche le notifiche di violazione all’autorità di regolamentazione competente o agli interessati come e quando richiesto dalle leggi applicabili.

    10. Diritti dell’interessato
      L’Ufficio legale fornirà linee guida e assistenza all’Ufficio Risorse umane e a qualsiasi altro ufficio per rispondere a qualsiasi richiesta di diritti dell’interessato (ad es. la richiesta di un individuo di accedere ai dati personali da noi detenuti in conformità con la legge applicabile), nonché per informare qualsiasi interessato dei propri diritti ai sensi della legge applicabile, che include il diritto di presentare un reclamo dinanzi all’autorità di regolamentazione governativa competente in materia di privacy dei dati nel caso in cui la Società violi qualsiasi legge applicabile in materia di privacy dei dati nel trattamento dei dati personali e sensibili di un interessato.

6.  Cosa devono fare i dipendenti, gli appaltatori, i consulenti e i lavoratori

Applicare i Principi di protezione dei dati alla raccolta e all’uso dei dati personali e seguire le politiche, le procedure e gli standard in materia di privacy.

In particolare, è richiesta la conformità alle seguenti politiche:

  • Politica sull’uso accettabile e sulle tecnologie dell’informazione
  • Politica sui dati riservati
  • Politica sulla classificazione e la gestione dei dati
  • Politica sulle e-mail
  • Politica sulla crittografia
  • Politica sulle password
  • Politica sull’accesso remoto
  • Politica su software di terze parti
  • Politica sulla conservazione dei dati

È inoltre necessario completare tutti i corsi di formazione sulla protezione dei dati richiesti.

Il mancato rispetto dei termini della presente Politica può comportare azioni disciplinari fino al licenziamento o alla cessazione del rapporto commerciale, nonché azioni legali

7.  Segnalazione e domande

Il personale di ICU Medical può segnalare eventuali dubbi tramite una hotline anonima e riservata al numero 1-844-330-0007. Le segnalazioni anonime e confidenziali possono essere effettuate anche via e-mail reports@lighthouse-services.com (nella segnalazione deve essere incluso il nome della Società), attraverso l'invio riservato via web all'indirizzo http://www.lighthouse-sercies.com/icumed, o attraverso la sezione Governance Reporting del nostro sito web di governance aziendale all'indirizzo https://ir.icumed.com/governance.cfm. Un Rappresentante della Società può anche effettuare segnalazioni riservate al proprio supervisore, alle Risorse Umane, al Responsabile della conformità o al Responsabile dell’Ufficio legale.

8.  Modifiche alla Politica

L'Ufficio legale rivedrà questa Politica non meno di una volta all'anno e raccomanderà le opportune modifiche.

Richiameremo la vostra attenzione su qualsiasi modifica, se appropriata o richiesta

9.  Eccezioni ed escalation

Eventuali eccezioni alla presente Politica devono essere esaminate e approvate dall’Ufficio legale. Tutte le eccezioni alla presente Politica devono essere approvate per iscritto prima dell’implementazione.

L’Ufficio legale è responsabile della risoluzione di domande sull’interpretazione appropriata della presente Politica alla luce dei requisiti legali e normativi. L’Ufficio legale è responsabile di rispondere alle domande sull’interpretazione della presente Politica.

Allegato A

Politica globale sulla privacy – Allegato per la Colombia

ICU MEDICAL COLOMBIA LIMITADA (“ICU COLOMBIA”), con sede in Colombia, è un'affiliata di ICU MEDICAL, INC (la “Società”) con sede negli Stati Uniti.

Il presente Allegato intende integrare la Politica globale sulla privacy (Global Privacy Policy, “GPP”) della Società al fine di includere alcuni elementi che sono applicabili solo nella misura in cui si applica la Legge colombiana sulla protezione dei dati. La legge colombiana sulla protezione dei dati si applica solo al trattamento in Colombia dei dati personali e al trattamento dei dati personali degli Interessati con sede in Colombia all’estero, in determinate circostanze.

I termini utilizzati nel presente documento avranno il significato attribuito nel GPP, salvo diversamente qui definito.

Termine

Definizione

Definizioni

Nella misura in cui si applica la Legge colombiana sulla protezione dei dati, oltre alle definizioni fornite nella sezione “Definizioni” del GPP, si applicano le seguenti definizioni; e nella misura in cui vi sia un conflitto nelle “Definizioni”, le presenti definizioni prevalgono:

  1. Leggi sulla protezione dei dati: la legge applicabile, in questo caso, leggi e regolamenti colombiani.
  2. Trattamento dei dati: qualsiasi operazione o serie di operazioni sui dati personali, come la raccolta, l’archiviazione, l’uso, la circolazione o la cancellazione.
  3. Autorizzazione: consenso preventivo, esplicito e informato dell’Interessato al trattamento dei propri dati personali.
  4. Responsabile del trattamento dei dati: persona fisica o giuridica, pubblica o privata, che da sola o in associazione con altri, tratta i dati personali per conto del Titolare del trattamento dei dati.
  5. Titolare del trattamento dei dati: persona fisica o giuridica, pubblica o privata, che da sola o in associazione con altri, decide sulla banca dati e/o sul trattamento dei dati.
  6. Interessato: qualsiasi individuo vivente a cui si riferiscono i dati personali o i dati sensibili.
  7. Trasferimento: il Trasferimento dei dati avviene quando il Titolare e/o il Responsabile del trattamento dei dati, con sede in Colombia, invia le informazioni o i dati personali a un destinatario che è anche un Titolare del trattamento dei dati e si trova all’interno o all’esterno del Paese.
  8. Trasmissione: trattamento dei dati personali, che implica la comunicazione di dati personali, all’interno o all’esterno della Colombia, quando ha lo scopo di un trattamento dei dati eseguito da un Responsabile del trattamento dei dati per conto di un Titolare del trattamento dei dati.

Principi di protezione dei dati

Nella misura in cui si applica la legge colombiana sulla protezione dei dati, oltre ai principi previsti nella sezione “Principi della protezione dei dati” del GPP, si applicano i seguenti principi:

  1. Principio dello stato di diritto relativo al trattamento dei dati: Il trattamento dei dati previsto dalla normativa colombiana sulla protezione dei dati (leggi e regolamenti) è un’attività regolamentata che deve essere soggetta alle sue disposizioni.
  2. Principio di finalità: il Trattamento dei dati deve seguire una finalità legittima in conformità con la Costituzione e la legge, che deve essere comunicata all’Interessato.
  3. Principio di libertà: il trattamento può essere esercitato solo con il consenso espresso, preventivo e informato dell’Interessato e non può essere ottenuto o divulgato senza la sua autorizzazione, o se non esiste un mandato legale o giudiziario che sollevi dal consenso.
  4. Principio di riservatezza: tutte le persone coinvolte nel trattamento dei dati personali che non sono di natura pubblica sono tenute a garantire la riservatezza delle informazioni.

Finalità del trattamento dei dati personali e dei dati personali sensibili

Le informazioni personali che ICU COLOMBIA raccoglie saranno trattate per le seguenti finalità:

  1. Inviare e trattare informazioni e documenti relativi al rapporto commerciale degli Interessati con ICU COLOMBIA.
  2. Fornire informazioni di contatto alla forza commerciale e/o alla rete di distribuzione di ICU COLOMBIA.
  3. Trasmissione internazionale di dati tramite hosting su server esterni.
  4. Trasferimento internazionale di dati mediante invio ad altra affiliata o a qualsiasi altra entità correlata di ICU COLOMBIA.
  5. Trasferimento di informazioni, requisiti e notifiche di ICU COLOMBIA a tutti i suoi dipendenti, fornitori, appaltatori e altri Interessati.
  6. Invio di newsletter, e-mail e altri messaggi di dati, informazioni su promozioni ed eventi o attività svolte da ICU COLOMBIA.
  7. Invio di sondaggi di opinione sulla soddisfazione di clienti, utenti e potenziali clienti.
  8. Segnalazione di informazioni per conformarsi ai requisiti legali e ai requisiti delle autorità giudiziarie.
  9. Le altre finalità descritte nei moduli di consenso.

Motivi per il trattamento dei dati personali

Nella misura in cui si applica la legge colombiana sulla protezione dei dati, i dati personali e i dati personali sensibili saranno soggetti ai seguenti requisiti:

Dati personali
Le basi giuridiche per il trattamento dei dati personali sono quelle specificate negli articoli 9 e 10 della legge 1581 del 2012.

Dati personali sensibili
Le basi giuridiche per il trattamento dei dati personali sono quelle specificate nell’articolo 6 della legge 1581 del 2012.>

Consenso

I criteri di consenso indicati nel GPP si applicheranno ai sensi del presente Allegato assieme ai seguenti criteri aggiuntivi:

  1. Il trattamento dei dati personali e dei dati personali sensibili richiede il consenso preventivo, espresso e informato dell’Interessato.
  2. I Titolari del trattamento stabiliranno meccanismi per ottenere l'autorizzazione dell'interessato o di chi ne ha diritto, in conformità alle disposizioni dell'articolo 20 del Decreto 1377. Tali meccanismi possono includere mezzi tecnici che possono facilitare il Responsabile del trattamento per ottenere il consenso automatizzato. L'autorizzazione è conforme a questi requisiti quando è fornita (i) per iscritto, (ii) oralmente o (iii) mediante comportamenti inequivocabili dell'interessato che portino a concludere ragionevolmente che l'autorizzazione è stata data. In nessun caso il silenzio può essere inteso come un comportamento inequivocabile.
  3. Il modulo di consenso deve includere una casella specifica per autorizzare la raccolta, il trattamento e il trasferimento di dati personali sensibili. Tale casella deve essere diversa dalla casella utilizzata per acconsentire alla raccolta di dati personali non sensibili.

Informazioni sul trattamento equo

Le informazioni che devono essere fornite all’Interessato a cui si fa riferimento nel GPP si applicheranno ai sensi del presente Allegato insieme alle seguenti informazioni aggiuntive:

  1. Nome o ragione sociale, domicilio, indirizzo, e-mail e numero di telefono del Titolare del trattamento.
  2. I diritti a cui l’Interessato ha diritto.
  3. Persona o area responsabile di partecipare a richieste, domande e reclami per mezzo dei quali l’Interessato può esercitare i propri diritti di conoscere, aggiornare, rettificare ed eliminare i dati e revocare l’Autorizzazione.
  4. Procedura per consentire agli Interessati di esercitare i loro diritti di conoscere, aggiornare, rettificare ed eliminare le informazioni e revocare il consenso

Trasferimento di dati/Trasmissione di dati a terze parti

Nella misura in cui si applica la legge colombiana sulla protezione dei dati, è necessario considerare quanto segue:

Quando ICU COLOMBIA incarica una terza parte di trattare i dati personali per conto di ICU COLOMBIA (Trasmissione dei dati) o per i propri scopi (Trasferimento dei dati), la terza parte deve stipulare un accordo scritto con ICUCOLOMBIA. Gli accordi devono includere una serie di disposizioni previste dagli articoli 24 e 25 del decreto 1377 del 2013 in materia di trasferimento e trasmissione internazionale di dati personali e accordo di trasmissione di dati personali.

Oltre a quanto sopra, in caso di trasmissioni, il Titolare del trattamento dei dati deve solo comunicare all’Interessato che esiste la possibilità di condividere i dati con terzi responsabili del trattamento dei dati e indicare se tali responsabili del trattamento si trovano all’estero al momento dell’ottenimento del consenso. In questo caso, vi è l’obbligo di divulgare la possibilità di una trasmissione, ma non vi è alcuna necessità di ottenere il consenso preventivo ed espresso per condividere i dati personali con il processore terzo che ha sottoscritto un accordo di trasmissione in conformità con le leggi applicabili in Colombia.

Al contrario, in caso di trasferimento, il Titolare condividerà i dati con un nuovo Titolare. Pertanto, è necessario ottenere il consenso dell’Interessato a condividere questi dati con il nuovo Titolare del trattamento dei dati e deve anche divulgare l’informativa sulla privacy che si applicherà (ovvero quella del nuovo Titolare del trattamento dei dati). I rispettivi accordi dovrebbero riflettere, tra gli altri requisiti, queste condizioni.

Trasferimenti internazionali di dati personali

Nella misura in cui si applica la legge colombiana sulla protezione dei dati, è necessario considerare quanto segue:

Ai sensi della Legge 1581 del 2012, del Decreto 1377 del 2013 e delle relative norme e regolamenti, i dati personali, a prescindere dalla loro natura, possono essere trasferiti solo in Paesi che offrono livelli di protezione dei dati sufficienti. Un Paese sarà considerato in grado di garantire livelli sufficienti di protezione dei dati forniti e nella misura in cui sia conforme agli standard applicabili stabiliti dalla Soprintendenza dell’Industria e del Commercio (“SIC”). I suddetti standard non possono in nessun caso prevedere obblighi inferiori a quelli contenuti nel Regime colombiano per la protezione dei dati.

Questo divieto non si applica a:

  1. Informazioni per le quali l’Interessato ha espressamente e inequivocabilmente concesso l’autorizzazione per il suo trasferimento.
  2. Scambio di dati medici ove richiesto dal Trattamento dei dati dell’Interessato per motivi di salute pubblica.
  3. Trasferimenti bancari o di mercato in conformità con le disposizioni applicabili
  4. Trasferimenti concordati nell'ambito di accordi internazionali di cui la Repubblica di Colombia è parte sulla base del principio di reciprocità
  5. Trasferimenti necessari per l’esecuzione di un contratto tra l’Interessato e il Titolare del trattamento dei dati oppure per l’esecuzione di future misure contrattuali a condizione che l’Interessato abbia fornito il consenso.

Diritti dell’interessato

Nella misura in cui si applica la legge colombiana sulla protezione dei dati, gli Interessati colombiani hanno una serie di diritti legali in relazione ai loro Dati personali. Tali diritti includono:

  1. Accedere, aggiornare e correggere i propri dati personali presso il Titolare o il Responsabile del trattamento, a causa di dati parziali, inesatti, incompleti, frazionati, ingannevoli, o di trattamenti non autorizzati/proibiti.
  2. Richiedere la prova del consenso concesso.
  3. Richiedere quale uso o trattamento è stato dato a propri dati personali.
  4. Presentare reclami alla Sovrintendenza dell'Industria e del Commercio
  5. Revocare il consenso o richiedere la cancellazione dei dati quando i principi sono stati violati quando la Soprintendenza dell’Industria e del Commercio stabilisce che il trattamento da parte del Titolare o del Responsabile del trattamento dei dati era contrario alla legge e alla Costituzione colombiana.

Procedura di consultazione

In qualsiasi momento e senza costi, l’Interessato e/o i suoi successori possono consultare i propri dati personali in possesso di ICU COLOMBIA. La consultazione deve essere inviata all’e-mail del Responsabile della protezione dei dati, che deve essere pubblicamente disponibile per gli Interessati. ICU COLOMBIA risponderà a tutte le consultazioni entro dieci (10) giorni lavorativi dalla ricezione della consultazione. Se ICU COLOMBIA non è in grado di rispondere entro questo termine, l’Interessato sarà informato di questa circostanza, delle ragioni del ritardo e della data in cui la consultazione sarà risolta,

che deve essere entro cinque (5) giorni lavorativi dalla scadenza del periodo di validità iniziale.

Procedura di reclamo

Se l’Interessato e/o i suoi successori ritengono che i propri dati personali in possesso di ICU COLOMBIA debbano essere modificati, aggiornati o eliminati, o se hanno qualsiasi richiesta relativa ai propri dati personali in possesso di ICU COLOMBIA o al trattamento dei propri dati personali da parte della Società, possono presentare un reclamo nei seguenti termini:

  1. Il reclamo deve essere presentato utilizzando il formato preparato da ICU COLOMBIA per questi scopi.
  2. La richiesta deve contenere almeno le seguenti informazioni: (i) la corretta identificazione dell’Interessato; (ii) la descrizione degli eventi che hanno originato il reclamo; (iii) i dettagli di contatto dell’Interessato e (iv) qualsiasi documento che l’Interessato ritenga rilevante per la richiesta. Se la richiesta non contiene alcuna di queste informazioni, entro cinque (5) giorni lavorativi dalla ricezione della richiesta ICU COLOMBIA deve richiedere all’Interessato di aggiornare il formato della richiesta con le informazioni mancanti.
    Entro due (2) giorni lavorativi dalla ricezione della richiesta completa, è necessario inserire un avviso nel database in cui è incluso l’Interessato della richiesta, indicando che è in corso una richiesta relativa alle informazioni incluse in tale database. Una breve spiegazione del reclamo deve essere inserita anche all’interno del database corrispondente fino alla risoluzione della richiesta.
  3. ICU COLOMBIA ha un termine di quindici (15) giorni lavorativi dal giorno in cui riceve la richiesta completa per fornire una risposta all'Interessato. Se ICU COLOMBIA non è in grado di rispondere entro questo termine, deve informare l’Interessato di questa circostanza, dei motivi del ritardo e della data in cui risponderà alla richiesta, che deve essere entro otto (8) giorni lavorativi dalla scadenza del termine iniziale.
    Se ICU COLOMBIA riceve una richiesta che avrebbe dovuta essere indirizzata a un’altra entità, deve inviare la richiesta all’entità corrispondente e informare l’Interessato di questa situazione.

Responsabile della protezione dei dati

Come indicato nel GPP, ICU COLOMBIA deve nominare e avere in ogni momento un Responsabile della protezione dei dati che abbia i seguenti obblighi:

  1. Rispondere alle consultazioni e alle richieste da parte degli Interessati: Il Responsabile della protezione dei dati sarà responsabile di rispondere a tutte le consultazioni e richieste da parte degli Interessati o dei loro successori relative ai loo Dati personali in possesso di ICU COLOMBIA e al trattamento dei loro Dati personali.
  2. Fornire assistenza e supporto ad altre aree della Società: Qualsiasi richiesta all’interno di ICU COLOMBIA relativa al trattamento dei Dati personali deve essere affrontata e risolta dal Responsabile della protezione dei dati
  3. Gestione dei rischi; Qualsiasi situazione che comporti o possa comportare una violazione della sicurezza dei dati personali deve essere comunicata al Responsabile della protezione dei dati, che sarà responsabile di preparare e implementare un piano per la gestione e la risoluzione della violazione della sicurezza o della potenziale violazione.
  4. Mantenere e aggiornare le registrazioni relative alla protezione dei dati e presentare i documenti dinanzi alle autorità: Il Responsabile della protezione dei dati deve garantire che (i) le informazioni di ICU COLOMBIA e dei suoi Interessati incluse nel Registro nazionale delle banche dati gestito dal SIC siano adeguatamente mantenute e aggiornate; (ii) eventuali nuovi database creati da ICU COLOMBIA che contengono dati personali siano adeguatamente registrati dinanzi al SIC; (iii) le richieste presentate dagli Interessati siano adeguatamente comunicate al SIC; e (iv) qualsiasi incidente di sicurezza correlato ai dati personali sia comunicato al SIC.
Responsabile del trattamento dei dati

Il Titolare del trattamento dei dati personali in Colombia è ICU MEDICAL COLOMBIA LIMITADA, identificato con NIT. 830143035-2, domiciliato nella città di Bogotà-Colombia, presso Avenida Carrera 72 n. 80-94.

Tutte le richieste relative al trattamento dei dati personali devono essere inviate via e-mail a habeasdatacolombia@icumed.com.

Recapiti del Responsabile della segnalazione e della protezione dei dati

Le preoccupazioni possono essere segnalate tramite una hotline anonima e riservata al numero 1-844-330-0007. Le segnalazioni anonime e confidenziali possono essere effettuate anche via e-mail reports@lighthouse-services.com (si deve includere il nome della Società nella segnalazione), attraverso l’invio Web riservato all’indirizzo http://www.lighthouse-services.com/icumed o tramite la sezione Governance Reporting nel nostro sito web di governance aziendale all’indirizzo https://ir.icumed.com/corporate-governance. Il Responsabile della protezione dei dati può essere contattato inviando un’e-mail a: ethicsandcompliance@icumed.com.

Data di entrata in vigore

L’Allegato di cui al presente documento entrerà in vigore a partire dal 1° luglio 2020, ma potrà essere modificato in qualsiasi momento, nel qual caso il documento pertinente sarà comunicato agli Interessati.

Allegato B

Politica globale sulla privacy – Allegato per il Messico

Nella misura in cui si applicano le leggi o i regolamenti messicani sulla protezione dei dati, si applicano i seguenti elementi e disposizioni di base specifici per il Messico che prevarranno sulle disposizioni contrastanti nell’attuale Politica globale sulla privacy.

Termine

Definizione

Definizioni

  1. “Legge sulla protezione dei dati”indica la Legge federale sulla protezione dei dati personali detenuti da soggetti privati (Ley Federal de Protección de Datos Personales en Posesión de los Particulares o FDPL) e il suo Regolamento di attuazione.
  2. “Dati personali sensibili” indica tutti i dati genetici, biometrici e relativi alla salute, nonché i dati personali che rivelano origine razziale ed etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale o dati riguardanti la vita sessuale o l’orientamento sessuale di una persona. Questi sono molto importanti perché sono soggetti a un livello di protezione più elevato e devono essere trattati con maggiore sicurezza.

Principi di protezione dei dati

Oltre ai principi forniti nella sezioneErrore! Fonte di riferimento non trovata., le disposizioni della legge messicana sulla protezione dei dati stabiliscono i principi chiave relativi al trattamento dei dati personali, come segue:

  1. Consenso: il trattamento e il trasferimento dei dati personali si basano sul consenso dei dati. Il consenso esplicito è necessario al trattamento e al trasferimento di dati personali sensibili, dati finanziari o immobiliari. Prima di dare il consenso, l’interessato ne sarà informato. In deroga alle regole generali, non è richiesto alcun consenso per il trasferimento di dati tra la nostra organizzazione e un responsabile del trattamento dei dati, purché sia in vigore un accordo sul trattamento dei dati.
  2. Limitazione dello scopo: i dati personali saranno raccolti per scopi specifici, espliciti e legittimi, come stabilito nella corrispondente Informativa sulla privacy. L’ulteriore trattamento per altri scopi incompatibili con gli scopi iniziali otterrà un consenso specifico per il nuovo scopo.
  3. Principio di minimizzazione: il trattamento deve essere adeguato, pertinente e limitato a quanto necessario in relazione alle finalità del trattamento.
  4. Principio di fedeltà: i dati personali saranno trattati in modo da garantire un’adeguata sicurezza dei dati personali, dando priorità alla protezione degli interessi dell’interessato.
Informativa sulla privacy

La nostra organizzazione è tenuta a registrare i nostri scopi per la raccolta e l’elaborazione e a specificarli in un documento per gli interessati. Ai sensi della legge messicana, un’adeguata Informativa sulla privacy dei dati deve contenere almeno le seguenti informazioni:

  1. La nostra identità, l’indirizzo (compresi via, numero, città, CAP) e i recapiti
  2. Le finalità del trattamento a cui sono destinati i dati personali
  3. Le categorie di dati personali interessati
  4. Le informazioni specifiche sul nostro trattamento dei dati personali sensibili
  5. L’esistenza del diritto di revocare il consenso a trattare ulteriormente i dati personali per uno scopo diverso da quello per cui sono stati raccolti i dati personali (ad es. scopi di marketing)
  6. L’intenzione di trasferire i dati personali a terzi in Messico o in un Paese terzo, se applicabile.
  7. La modalità per esercitare i diritti dell’interessato
  8. In che modo l’interessato può ritirare il proprio consenso al trattamento dei dati
  9. Modi per esercitare il diritto di richiedere alla Società la limitazione del trattamento o della divulgazione riguardante l’interessato
  10. Politica sui cookie che fornisce informazioni sui tipi di cookie attivi sul nostro sito web, quali dati tracciano, per quale scopo, dove vengono inviati i dati nel mondo e istruzioni dettagliate su come possono impostare le loro preferenze sui cookie
  11. I recapiti del nostro Responsabile della protezione dei dati o del nostro dipartimento
  12. Le procedure e i mezzi per comunicare le modifiche alla nostra Informativa sulla privacy

Tali informazioni sono fornite per iscritto o con altri mezzi, inclusi, se del caso, i mezzi elettronici.

Condizioni per il consenso

Il trattamento dei dati personali è lecito solo se e nella misura in cui l’interessato abbia fornito il consenso al trattamento dei suoi dati personali per una o più finalità specifiche.

La Società è tenuta a ottenere una dichiarazione esplicita di consenso da parte dell'interessato, ad esempio in una dichiarazione scritta, quando è richiesto dalla legge o dall'interessato, il trattamento di dati personali sensibili, dati finanziari o personali.

Tuttavia, un interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la legittimità del trattamento basato sul consenso prima della sua revoca.

FDPL consente di ottenere il consenso scritto esplicito attraverso mezzi tecnologici (inclusi pulsanti o caselle “Accetto”), a condizione che non siano stati precedentemente selezionati. Le regole principali relative al consenso possono essere riassunte come segue:

  1. Per la raccolta di Dati personali sensibili è necessario il consenso
  2. L’accettazione è necessaria per la raccolta di dati finanziari o relativi al patrimonio personale
  3. Le caselle di spunta per ottenere il consenso non devono essere preselezionate
  4. Il consenso non è richiesto in alcuni casi eccezionali stabiliti nella FDPL, compresa la raccolta di dati per l’esecuzione di un contratto
  5. Trattamento dei dati non essenziale Il testo dell’Informativa sulla privacy deve distinguere tra le finalità di trattamento dei dati necessarie per l’esistenza, il mantenimento e la conformità del rapporto legale tra la nostra organizzazione e l’interessato, che determinano l’esistenza del rapporto, da quelle finalità che non sono essenziali (ad es. trattamento dei dati personali ai fini del marketing diretto)
  6. Regola di rinuncia preventiva. In caso di finalità di trattamento inutili o secondarie, l’Informativa sulla privacy deve includere il meccanismo per l’interessato di esercitare il diritto di revocare il consenso al trattamento dei dati a tale scopo.
Esenzioni dal consenso

La nostra organizzazione non è tenuta a ottenere il consenso al trattamento dei dati personali quando:

  1. i dati personali devono essere trattati per legge, da un’autorità governativa o di altro tipo, o da un tribunale o altra autorità competente;
  2. il trattamento riguarda i dati personali che sono pubblicamente disponibili;
  3. i dati personali sono soggetti a un processo di disaggregazione;
  4. il trattamento è necessario per l’esecuzione di un contratto di cui la Società e l’interessato sono parti;
  5. il trattamento è necessario per proteggere gli interessi vitali di un individuo;
  6. il trattamento è necessario ai fini della medicina preventiva o occupazionale, della diagnosi medica, della fornitura di assistenza sanitaria o del trattamento o della gestione di sistemi e servizi sanitari, laddove l’interessato sia fisicamente o legalmente incapace di dare il consenso.
Diritti dell’interessato

Faciliteremo l’esercizio dei diritti dell’interessato e non rifiuteremo di agire su richiesta dell’interessato per l’esercizio dei seguenti diritti: (i) il diritto di accedere ai dati personali da noi conservati, e per ottenere informazioni sulle nostre pratiche di trattamento; (ii) il diritto di rettificare i dati personali inesatti riguardanti l’interessato; (iii) il diritto di richiedere la cancellazione dei dati personali se i dati non vengono trattati ai sensi della legge o se non sono più necessari; e (iv) il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano, basato su motivi legittimi o per uno scopo specifico. Questi diritti sono noti come "diritti ARCO".

Gli interessati avranno il diritto di revocare il proprio consenso in qualsiasi momento per il trattamento dei propri dati personali.

Inoltre, forniremo agli interessati ulteriori informazioni sul loro diritto di presentare un reclamo all’autorità di controllo.

Comunicazione di una violazione dei dati personali

Quando è probabile che la violazione dei dati personali comporti un rischio elevato per i diritti delle persone, la nostra organizzazione comunica la violazione dei dati personali all’interessato senza indebito ritardo. La comunicazione all’interessato deve descrivere almeno la natura della violazione dei dati personali, i dati personali coinvolti, le misure raccomandate da adottare dall’interessato per proteggere i suoi interessi, descrivere le misure adottate o proposte dalla Società per affrontare la violazione dei dati personali e il nome e i recapiti del nostro Responsabile della protezione dei dati o altro punto di contatto all’interno della nostra organizzazione dove è possibile ottenere ulteriori informazioni.

Responsabile/Dipartimento per la protezione dei dati

La nostra organizzazione è tenuta a nominare un dipendente o un dipartimento rispettivamente come Responsabile della protezione dei dati o dipartimento. Il Responsabile della protezione dei dati o il dipartimento sarà responsabile di intraprendere azioni sulle richieste degli interessati.