Politica globale sulla privacy
1. Panoramica e obiettivi
La protezione dei dati personali, così come il rispetto delle leggi e dei regolamenti sulla privacy e sulla protezione dei dati, è importante per la nostra organizzazione e le sue affiliate (“noi”, “ci”, la “Società”). Prendiamo seriamente questo impegno e miriamo a garantire i diritti alla privacy dei nostri dipendenti, contatti commerciali e clienti quando gestiamo le informazioni che li riguardano
La presente Politica globale sulla privacy (la presente “Politica”) stabilisce un quadro di governance completo per la gestione dei rischi per la privacy e la protezione dei dati. Nello specifico, gli Allegati A e B della presente Politica riguardano determinati requisiti previsti, rispettivamente, dalla legislazione colombiana e messicana, come indicato nei relativi Allegati.
La presente Politica, insieme agli eventuali Allegati e ai documenti di supporto, definisce i processi e gli strumenti che consentono di adottare un approccio coerente alla gestione dei rischi per la privacy a livello di tutta l'organizzazione. La protezione dei dati personali di dipendenti, contatti commerciali e clienti è fondamentale per preservare la loro fiducia.
In particolare, la presente Politica:
- stabilisce i principi di protezione dei dati che sono alla base del nostro quadro globale sulla privacy;
- identifica e spiega i ruoli e le responsabilità in materia di protezione dei dati;
- istituisce il Programma per la privacy;
- identifica le politiche, le procedure e gli standard interni che supportano questa Politica e, insieme a essa, costituiscono il quadro di riferimento della nostra organizzazione in materia di privacy; e
- stabilisce un elenco (non esaustivo) dei requisiti a cui dipendenti, appaltatori, consulenti e chiunque ci fornisca supporto o servizi devono attenersi al fine di preservare la riservatezza e la sicurezza dei dati personali che gestiscono.
La presente Politica non fornisce un elenco esaustivo dei comportamenti consentiti o vietati, né stabilisce ogni regola applicabile. Essa non sostituisce la responsabilità di esercitare un buon giudizio aziendale e la dovuta diligenza. Gli individui devono continuare a richiedere consulenza adeguata attraverso i canali appropriati in relazione a eventuali preoccupazioni e problemi specifici che non sono specificamente affrontati nella presente Politica.
2. Ambito e applicazione
La presente Politica si applica a tutti i direttori, manager, dipendenti, appaltatori, consulenti e chiunque altro supporti o presti servizio all'interno della nostra organizzazione in relazione a tutte le nostre operazioni in tutto il mondo che comportano il trattamento di dati personali.
Rispettare la presente politica è responsabilità di ogni direttore, manager, dipendente, appaltatore, consulente e di chiunque altro supporti o fornisca servizi alla nostra organizzazione. Il riconoscimento e la comprensione di questa Politica sono richiesti tramite contratti e formazione obbligatoria. La mancata osservanza di questa politica può costituire una violazione dei termini di impiego e può portare ad azioni disciplinari fino alla risoluzione del contratto di lavoro o di servizi.
L’alta dirigenza è in ultima analisi responsabile di garantire il rispetto della presente Politica. L’Ufficio legale, in coordinamento con l’Ufficio di audit interno, è responsabile del monitoraggio della conformità alla presente Politica.
Definizioni
3. Principi di protezione dei dati
Le operazioni aziendali della nostra organizzazione devono sempre essere coerenti con i Principi di protezione dei dati indicati di seguito. Questi principi sono vincolanti per tutte le nostre attività.
-
Trattamento lecito, equo e trasparente
La nostra organizzazione utilizza i dati personali solo in modo lecito, equo e trasparente.
Rispettiamo le leggi sulla protezione dei dati e sulla privacy in ciascuna delle giurisdizioni in cui operiamo. Ove richiesto dalla legge, ci impegniamo inoltre ad aiutare le persone a comprendere quali informazioni raccogliamo, come le utilizziamo e quali scelte hanno a disposizione. Spieghiamo ciò ai dipendenti, agli appaltatori, ai consulenti e ad altri lavoratori, consumatori e contatti commerciali in modo semplice e chiaro nelle nostre informative sulla privacy. Rivediamo regolarmente le nostre informative sulla privacy per mantenerle aggiornate e per garantire che corrispondano alle nostre pratiche interne. -
Limitazione delle finalità
Raccogliamo dati personali solo per finalità specifiche, chiare e legittime e raccogliamo solo i dati personali necessari per raggiungere tali finalità. Sebbene i dati personali ci aiutino a migliorare i servizi che forniamo, li utilizziamo solo in modo proporzionato a obiettivi chiari. -
Accuratezza dei dati
Adottiamo misure per garantire che i dati personali in nostro possesso siano accurati, aggiornati e pertinenti alle finalità per le quali vengono raccolti. -
Conservazione dei dati
Conserviamo i dati personali in forma identificabile solo per il tempo necessario alle finalità per cui li utilizziamo. -
Diritti delle persone
Siamo pienamente impegnati a facilitare i diritti alla privacy delle persone in relazione al nostro trattamento dei loro dati personali, in conformità con le leggi applicabili. -
Sicurezza delle informazioni
Adottiamo misure fisiche, tecniche e organizzative appropriate per mantenere i dati personali al sicuro e garantirne l’integrità, la riservatezza e la disponibilità in tutti i sistemi in qualsiasi momento.
Inoltre, ci impegniamo a garantire che i nostri venditori e fornitori che potrebbero trattare i dati personali per nostro conto preservino la riservatezza, l’integrità e la disponibilità di tali dati. -
Trasferimenti internazionali di dati personali
La nostra organizzazione è un’azienda globale e, in quanto tale, dobbiamo trasferire informazioni a livello internazionale. Siamo impegnati a garantire l'esistenza di garanzie adeguate, come richiesto dalle leggi vigenti, per proteggere i dati personali che trasferiamo in paesi che non dispongono di leggi adeguate in materia di protezione dei dati. -
Responsabilità
Siamo tutti responsabili di rispettare i principi di protezione dei dati e rispettare i diritti alla privacy individuali. Abbiamo il dovere collettivo e individuale di proteggere i dati personali dei nostri dipendenti, appaltatori, consulenti e altri lavoratori, consumatori e partner commerciali. Al fine di creare un ambiente di fiducia e di rispettare le leggi applicabili in materia di protezione dei dati, tutti gli individui che operano all'interno o per conto della nostra organizzazione devono rispettare le nostre politiche sulla privacy e aiutare l'organizzazione a mantenere i propri impegni in materia di protezione dei dati personali.
4. Ruoli e responsabilità
Diversi stakeholder a vari livelli aziendali all'interno della nostra organizzazione svolgono un ruolo nel garantire la gestione complessiva del rischio di privacy e la conformità alla protezione dei dati. I seguenti uffici e dipendenti sono stati identificati come ruoli e responsabilità specifici:
- L'ufficio legale è responsabile della promozione e della conformità alla privacy, della supervisione del programma generale di gestione della privacy e della conformità, della risposta alle domande e alle richieste degli interessati, della risposta alle richieste normative in materia di protezione dei dati, del collegamento con il reparto informatico, ove necessario, per garantire la sicurezza delle informazioni, che è una parte fondamentale della protezione dei dati personali.
- Il reparto IT è responsabile della salvaguardia e del monitoraggio delle nostre reti e dei nostri sistemi interni e, in particolare, di garantire che i dati personali archiviati, trasferiti, accessibili e utilizzati attraverso queste reti e sistemi siano adeguatamente protetti contro le violazioni dei dati. Il reparto IT è anche responsabile della partecipazione ad alcune importanti attività di protezione dei dati, come la Valutazione d’impatto sulla protezione dei dati (Data Protection Impact Assessment, “DPIA”).
- L’Ufficio Risorse Umane è responsabile del trattamento corretto dei dati personali di dipendenti, appaltatori, consulenti e chiunque fornisca servizi e supporti e in conformità alle leggi applicabili. L’Ufficio Risorse Umane è inoltre responsabile di rispondere alle richieste di dipendenti, appaltatori, consulenti e altri lavoratori per l’esercizio dei loro diritti di protezione dei dati e di inoltrare qualsiasi ulteriore richiesta o reclamo all’Ufficio legale. L’Ufficio Risorse Umane deve inoltre informare l’Ufficio legale in merito alle nuove attività di trattamento che hanno un impatto sui dati personali di dipendenti, appaltatori, consulenti e altri lavoratori. L’Ufficio Risorse Umane deve essere coinvolto nell’esecuzione di DPIA di nuove attività di trattamento delle risorse umane, nell’aggiornamento delle informative sulla privacy a dipendenti, appaltatori, consulenti e altri lavoratori e nel renderli consapevoli dei loro doveri e responsabilità in materia di protezione dei dati personali (inclusa la presente Politica).
Inoltre, qualsiasi funzione aziendale che tratta i dati personali è responsabile di:
- gestire il rischio per la privacy relativo al trattamento effettuato dalla funzione;
- consultare l’Ufficio legale quando richiesto dalle politiche e procedure interne;
- garantire la sicurezza dei dati personali che tratta; e
- gestire e segnalare eventuali incidenti di privacy come richiesto.
Tutti i direttori, i manager, i dipendenti, gli appaltatori, i consulenti e i lavoratori hanno la responsabilità di preservare la riservatezza dei dati personali che utilizzano e di gestire queste informazioni in modo sicuro e in conformità con la presente Politica e qualsiasi altra politica, procedura e standard di supporto (come identificato di seguito in "Quadro normativo").
5. Programma sulla privacy
Il nostro Ufficio legale supervisionerà il nostro programma sulla privacy, che fornisce un approccio completo e coordinato alla gestione dei rischi per la privacy, soddisfacendo al contempo le esigenze e le strategie aziendali. Il nostro Programma sulla privacy comprende, come minimo, i seguenti componenti:
- Quadro normativo
- Conformità legale
- Sportello unico
- Documentazione della conformità alla protezione dei dati (decisioni, implementazione e audit)
- Registri delle attività di trattamento
- Valutazione d’impatto sulla protezione dei dati
- Gestione dei rischi per la privacy dei fornitori
- Formazione sulla protezione dei dati
- Gestione delle violazioni dei dati
- Diritti degli interessati
-
Quadro normativo
La nostra organizzazione deve operare sempre in conformità con la presente Politica, il Codice di condotta ed etica aziendale e tutte le politiche, procedure e standard interni relativi alla privacy come la Politica sulle tecnologie dell’informazione per l’uso accettabile, la Politica sulla classificazione e gestione dei dati, la Politica sulla risposta agli incidenti e le informative sulla privacy per il personale, gli utenti online e altre persone. Si noti che queste politiche possono, di volta in volta, essere aggiornate o sostituite e l’ambito dell’elenco di seguito può essere ampliato a politiche aggiuntive. -
Conformità legale
L’Ufficio legale manterrà sempre processi che consentono alla nostra organizzazione di comprendere e rispettare i requisiti legali in materia di protezione dei dati, come la fornitura di informative sulla privacy agli interessati e l’ottenimento del consenso al trattamento dei dati quando necessario. L’Ufficio legale garantirà che le leggi sulla privacy siano affrontate in modo coerente in tutta la regione in cui si applicano tali leggi. -
Sportello unico
L’Ufficio legale, insieme all’alta dirigenza determinerà dove potrebbe essere situata la nostra sede principale in base alle nostre attività di trattamento dei dati per identificare l’autorità di controllo principale all’interno dell’Unione europea per il trattamento transfrontaliero. La decisione deve essere documentata. L’Ufficio legale monitorerà attentamente l’autorità di controllo principale per indicazioni e altri risultati emessi e comprenderà le priorità di applicazione. -
Documentazione della conformità alla protezione dei dati (decisioni, implementazione e audit)
L’Ufficio legale, supportato dalle funzioni aziendali interessate, creerà e manterrà registri delle decisioni e delle azioni intraprese verso la gestione del rischio per la privacy e la conformità alle leggi sulla protezione dei dati. Ciò consentirà inoltre una collaborazione efficace con le autorità di regolamentazione come e quando richiesto e consentirà alla nostra organizzazione di documentare e dimostrare la propria conformità alla privacy in ogni momento.
Laddove le decisioni e le azioni relative alla privacy siano prese a livello regionale o aziendale, le politiche e le procedure pertinenti stabiliranno la proprietà e la responsabilità di mantenere registri appropriati.
L’Ufficio legale sarà inoltre responsabile di garantire e supervisionare lo sviluppo di eventuali documenti aggiuntivi che potrebbero essere necessari per dimostrare la conformità ai sensi delle leggi applicabili in materia di protezione dei dati (ad es. moduli di consenso, comunicazioni agli interessati, registro delle violazioni dei dati personali). -
Registri delle attività di trattamento
L’Ufficio legale raccoglierà in un documento l’elenco di tutte le attività di trattamento all’interno della nostra organizzazione in un determinato momento; questo documento sarà aggiornato periodicamente per riflettere i cambiamenti nelle operazioni aziendali. L’Ufficio IT, l’Ufficio Risorse Umane e qualsiasi altra funzione aziendale coinvolta nel trattamento dei dati personali devono contribuire alla registrazione delle attività di trattamento (fornendo informazioni pertinenti come le finalità di utilizzo dei dati e i trasferimenti di dati). -
Valutazione d’impatto sulla protezione dei dati
L’Ufficio legale stabilirà linee guida e procedure per eseguire DPIA in relazione a nuovi prodotti, tecnologie e operazioni aziendali, ove richiesto dalle leggi applicabili o laddove ciò sembri appropriato per gestire il rischio per la privacy. Le DPIA richiederanno l’input e il coinvolgimento delle funzioni aziendali pertinenti. - Gestione dei rischi per la privacy dei fornitori
La gestione dei rischi per il coinvolgimento di fornitori terzi che trattano i dati personali per conto nostro (“responsabili del trattamento dei dati”) è fondamentale per garantire la nostra conformità in materia di protezione dei dati. L’Ufficio legale fornirà linee guida e qualsiasi contenuto sulla privacy necessario per la valutazione del rischio di terze parti, mantenendolo aggiornato secondo necessità per affrontare i rischi emergenti per la privacy. I rischi associati a una terza parte devono essere inoltrati all’Ufficio legale.
In particolare, l’Ufficio legale garantirà che:- qualsiasi responsabile del trattamento dei dati sia soggetto a un’adeguata due diligence sulle sue misure di sicurezza delle informazioni prima di essere selezionato come partner commerciale;
- sia in vigore un accordo di trattamento appropriato con qualsiasi responsabile del trattamento dei dati che imponga obblighi di protezione dei dati al responsabile del trattamento dei dati; e
- il rispetto da parte del responsabile del trattamento dei dati del contratto di trattamento e della legge applicabile venga monitorato periodicamente.
-
Formazione sulla protezione dei dati
La formazione sulla protezione dei dati farà parte del piano annuale di formazione sulla conformità e sarà obbligatoria per il personale pertinente al momento dell’ingresso in azienda e successivamente su base regolare. L’Ufficio legale garantirà che i contenuti della formazione siano sempre aggiornati e appropriati alle operazioni aziendali della nostra organizzazione. Il completamento della formazione sarà monitorato e documentato (ad es. registro della formazione). -
Gestione delle violazioni dei dati
Tutte le funzioni aziendali sono responsabili del monitoraggio delle operazioni aziendali per gli incidenti relativi alla sicurezza dei dati personali, della loro acquisizione in modo tempestivo e coerente e dell’esecuzione di strategie di mitigazione del rischio appropriate.
Tutti i dipendenti e le funzioni aziendali sono responsabili di segnalare immediatamente qualsiasi violazione dei dati effettiva o sospetta secondo la nostra Politica di risposta agli incidenti. Qualsiasi ufficio e/o funzione aziendale pertinente è tenuta a prendere parte alla gestione delle violazioni in base a tale politica.
L’Ufficio legale, in collaborazione con il reparto IT, garantirà che gli incidenti noti e gli eventi di rischio siano identificati, valutati e corretti in modo appropriato e valuterà le tendenze in modo da poter affrontare le cause principali. L’Ufficio legale gestirà anche le notifiche di violazione all’autorità di regolamentazione competente o agli interessati come e quando richiesto dalle leggi applicabili. -
Diritti dell’interessato
L’Ufficio legale fornirà linee guida e assistenza all’Ufficio Risorse umane e a qualsiasi altro ufficio per rispondere a qualsiasi richiesta di diritti dell’interessato (ad es. la richiesta di un individuo di accedere ai dati personali da noi detenuti in conformità con la legge applicabile), nonché per informare qualsiasi interessato dei propri diritti ai sensi della legge applicabile, che include il diritto di presentare un reclamo dinanzi all’autorità di regolamentazione governativa competente in materia di privacy dei dati nel caso in cui la Società violi qualsiasi legge applicabile in materia di privacy dei dati nel trattamento dei dati personali e sensibili di un interessato.
-
Quadro normativo
6. Cosa devono fare i dipendenti, gli appaltatori, i consulenti e i lavoratori
Applicare i Principi di protezione dei dati alla raccolta e all’uso dei dati personali e seguire le politiche, le procedure e gli standard in materia di privacy.
In particolare, è richiesta la conformità alle seguenti politiche:
- Politica sull’uso accettabile e sulle tecnologie dell’informazione
- Politica sui dati riservati
- Politica sulla classificazione e la gestione dei dati
- Politica sulle e-mail
- Politica sulla crittografia
- Politica sulle password
- Politica sull’accesso remoto
- Politica su software di terze parti
- Politica sulla conservazione dei dati
È inoltre necessario completare tutti i corsi di formazione sulla protezione dei dati richiesti.
Il mancato rispetto dei termini della presente Politica può comportare azioni disciplinari fino al licenziamento o alla cessazione del rapporto commerciale, nonché azioni legali
7. Segnalazione e domande
Il personale di ICU Medical può segnalare eventuali dubbi tramite una hotline anonima e riservata al numero 1-844-330-0007. Le segnalazioni anonime e confidenziali possono essere effettuate anche via e-mail reports@lighthouse-services.com (nella segnalazione deve essere incluso il nome della Società), attraverso l'invio riservato via web all'indirizzo http://www.lighthouse-sercies.com/icumed, o attraverso la sezione Governance Reporting del nostro sito web di governance aziendale all'indirizzo https://ir.icumed.com/governance.cfm. Un Rappresentante della Società può anche effettuare segnalazioni riservate al proprio supervisore, alle Risorse Umane, al Responsabile della conformità o al Responsabile dell’Ufficio legale.
8. Modifiche alla Politica
L'Ufficio legale rivedrà questa Politica non meno di una volta all'anno e raccomanderà le opportune modifiche.
Richiameremo la vostra attenzione su qualsiasi modifica, se appropriata o richiesta
9. Eccezioni ed escalation
Eventuali eccezioni alla presente Politica devono essere esaminate e approvate dall’Ufficio legale. Tutte le eccezioni alla presente Politica devono essere approvate per iscritto prima dell’implementazione.
L’Ufficio legale è responsabile della risoluzione di domande sull’interpretazione appropriata della presente Politica alla luce dei requisiti legali e normativi. L’Ufficio legale è responsabile di rispondere alle domande sull’interpretazione della presente Politica.
Allegato A
Politica globale sulla privacy – Allegato per la Colombia
ICU MEDICAL COLOMBIA LIMITADA (“ICU COLOMBIA”), con sede in Colombia, è un'affiliata di ICU MEDICAL, INC (la “Società”) con sede negli Stati Uniti.
Il presente Allegato intende integrare la Politica globale sulla privacy (Global Privacy Policy, “GPP”) della Società al fine di includere alcuni elementi che sono applicabili solo nella misura in cui si applica la Legge colombiana sulla protezione dei dati. La legge colombiana sulla protezione dei dati si applica solo al trattamento in Colombia dei dati personali e al trattamento dei dati personali degli Interessati con sede in Colombia all’estero, in determinate circostanze.
I termini utilizzati nel presente documento avranno il significato attribuito nel GPP, salvo diversamente qui definito.
Allegato B
Politica globale sulla privacy – Allegato per il Messico
Nella misura in cui si applicano le leggi o i regolamenti messicani sulla protezione dei dati, si applicano i seguenti elementi e disposizioni di base specifici per il Messico che prevarranno sulle disposizioni contrastanti nell’attuale Politica globale sulla privacy.