En Organon, nuestra misión de ofrecer soluciones de salud innovadoras que permiten a las personas vivir sus mejores vidas, también se extiende a respetar su privacidad y proteger la información personal.

Fecha de revisión: 1 de febrero de 2021
Fecha de entrada en vigor: 1 de junio de 2021

Nos esforzamos en llevar a cabo nuestras actividades empresariales de acuerdo con nuestros principios de privacidad, ya que creemos que así se demuestra nuestro firme compromiso por tratar los datos de una manera ética y responsable. Somos conscientes de que la innovación y las nuevas tecnologías suponen un cambio continuo y por tanto procuramos adaptar nuestros principios de privacidad rápidamente para poder aplicarlos según esos cambios.

Esta Política define nuestros estándares globales para la gestión y la protección de la Información personal a medida que se mueve por las fronteras del país, por parte de nuestra Empresa o en su nombre, independientemente del país de origen o al que se transfiera la Información personal. Asimismo, describe nuestros compromisos fundamentales de acuerdo con nuestra

Certificación de Reglas de privacidad transfronteriza de APEC (Asia-Pacific Economic Cooperation, Foro de Cooperación Económica Asia-Pacífico) se aplica a nuestras operaciones en cada país, incluidas las transferencias de datos necesarias para llevar a cabo esas actividades. Esta Política también afecta a todas aquellas personas de las cuales tratamos información, entre otros, profesionales sanitarios y otros clientes; empleados futuros, actuales y antiguos y las personas a su cargo; pacientes; cuidadores; investigadores y participantes en estudios de investigación; miembros del comité científico y de ética; socios comerciales, inversores y accionistas; funcionarios públicos, y otras partes interesadas.

Todos los empleados de la empresa y los altos directivos tienen unas responsabilidades en materia de privacidad fundamentales que deben respetar.

Sabemos que los errores involuntarios y las valoraciones erróneas en relación con la protección de la información sobre personas pueden conllevar riesgos de privacidad potenciales para los individuos y riesgos de reputación, operativos, financieros y de cumplimiento para nuestra empresa. Impartimos la formación necesaria respecto a esta Política a los empleados y al resto de personal que acceda de manera permanente o habitual a Información personal, que participe en la recopilación de datos o que ayude con el diseño de herramientas que sirvan para tratar Información personal. Todos los empleados de nuestra Empresa, y todos aquellos que tratan información sobre personas para nuestra Empresa, son responsables de entender y respetar las obligaciones impuestas por esta Política y por la legislación pertinente.

Nuestros valores y estándares de privacidad

Respetamos nuestros valores de privacidad en todas las actividades que realizamos. Nuestros cuatro valores de privacidad son:

Respeto

Confianza

Evitar el daño

Cumplimiento

Sabemos que las creencias con respecto a la privacidad vienen dadas muy a menudo según nuestra personalidad, cómo vemos el mundo y cómo nos definimos, por lo que nos esforzamos en respetar las perspectivas e intereses de las personas y comunidades y en utilizar y compartir la información sobre ellos de manera justa y transparente.

Sabemos que la confianza es fundamental para nuestro éxito, y por esta razón nos esforzamos en fomentar y mantener la confianza de nuestros clientes, empleados, sujetos de los estudios y otras partes interesadas en nuestra manera de respetar la privacidad y proteger la información sobre personas.

Somos conscientes de que el mal uso de la información sobre personas puede producir daños tangibles e intangibles a las personas, por lo que queremos impedir riesgos a la seguridad física, financiera, de reputación o cualquier otro tipo de daño a la privacidad de los individuos.

Nos hemos dado cuenta de que las leyes y reglamentos no siempre pueden seguir el ritmo de los rápidos cambios que se producen en tecnología, flujos de datos y tendencias relacionadas con los riesgos y expectativas de privacidad. Por lo tanto, intentamos cumplir con el espíritu y la letra de las leyes y reglamentos de protección de datos y privacidad de una manera que nos permita lograr un funcionamiento coherente y eficiente para nuestras actividades empresariales a nivel global.

  1. Integramos nuestros estándares de privacidad en todas las actividades, procesos, tecnologías y relaciones con terceros que utilizan Información personal. Diseñamos medidas de control de la privacidad para nuestros procesos y tecnologías que se corresponden con nuestros valores y estándares de privacidad, así como con la legislación pertinente. Los ocho (8) principios de privacidad que se describen a continuación resumen a grandes rasgos nuestros estándares de privacidad y los requisitos principales para los procesos, las actividades y las tecnologías de apoyo.

    Principio de privacidad

    Nuestros compromisos fundamentales

    1. Necesidad: Antes de recopilar, utilizar o compartir Información personal, definimos y documentamos los propósitos datos.

    • Determinamos qué Información personal se necesita, y durante cuánto tiempo, para esos propósitos empresariales establecidos y los imperativos legales aplicables. Documentamos nuestra determinación.
    • No recopilamos, utilizamos ni compartimos más Información personal de la que sea necesaria, ni tampoco la conservamos de una manera identificable durante un periodo de tiempo más largo del necesario para esos propósitos empresariales establecidos y los imperativos legales aplicables.
    • Anonimizamos o eliminamos la identificación de la Información Personal cuando los requisitos del negocio requieren la conservación de los datos sobre una actividad o un proceso que involucre Información Personal durante un periodo de tiempo más largo.
    • Nos aseguramos de que estos requisitos necesarios están diseñados para cualquier tipo de tecnología de apoyo y de que se comunican a los terceros que prestan apoyo a la actividad o al proceso.

    2. Imparcialidad: Tratamos la Información personal de formas justas para las personas a quienes se refieren dichos datos.

    • Determinamos si la recopilación, utilización o cualquier otro tratamiento propuestos de la Información personal presentan un riesgo razonablemente posible o grave de daño tangible o intangible para los individuos, de acuerdo con nuestro valor de privacidad de Evitar el daño.
    • Si la naturaleza de los datos, tipos de personas o la actividad presentan un riesgo razonablemente posible o grave de daño tangible o intangible para las personas, nos aseguramos de que el riesgo de daño se vea compensado por un beneficio correspondiente para aquellos individuos a quienes se refieren dichos datos o para nuestra misión de salvar y mejorar vidas y de que las medidas, las protecciones y los mecanismos que hemos implantado mitiguen dicho riesgo.
    • En aquellos casos en los que el riesgo parezca no ser proporcional a los beneficios que los individuos percibirían, aplicamos las medidas de seguridad y protección relevantes, informamos a los individuos de este hecho y buscamos el consejo de la autoridad reguladora competente según se requiera.
    • Tratamos información confidencial únicamente con el consentimiento expreso de los individuos, según lo expresamente requerido o permitido por la legislación pertinente.
    • En aquellos casos en los que el riesgo parezca no ser proporcional a los beneficios que los individuos percibirían, documentamos el análisis del riesgo e implementamos salvaguardias para minimizar los riesgos lo máximo posible.

    3. Transparencia: Tratamos la Información personal de formas o para propósitos transparentes para las personas a las que los datos estén relacionados.

    • Todos los individuos sobre quienes se trate la Información personal con arreglo a esta Política tienen el derecho de recibir una copia de esta Política. Facilitaremos copias de esta Política en línea en www.organon.com/privacy y facilitaremos copias electrónicas o en papel de esta Política a las direcciones que se indican más adelante según se requieran.
    • Cuando la Información personal se recopila directamente de los individuos, nosotros les informamos, antes de recopilar los datos, con un aviso de privacidad claro, evidente y fácil de acceder, o bien a través de otros medios similares, sobre los siguientes aspectos: (1) la entidad o entidades empresariales responsables del tratamiento; (2) los datos de contacto de nuestro Director de privacidad o del Director de privacidad de datos regional/local; (3) la información que se recopilará; (4) los propósitos para los cuales se utilizará; (5) los fundamentos jurídicos de nuestro tratamiento de los datos; (6) los individuos con los que se compartirá, incluyendo cualquier petición de revelación de Información personal en respuesta a requerimientos legales efectuados por las autoridades gubernamentales; (7) si se va a transferir Información personal a otros países (incluida la identificación de los países pertinentes, si ello fuera viable) y, en caso afirmativo, de qué forma se va a hacer la transferencia; (8) el periodo de tiempo durante el cual se conservarán los datos o los criterios a partir de los cuales tomamos esa decisión; (9) la forma en la que los individuos pueden preguntar, expresar sus inquietudes o ejercer sus derechos en relación con su Información personal; (10) la forma en la que los individuos pueden retirar cualquier consentimiento que hayan otorgado; (11) su derecho a presentar reclamaciones ante cualquier autoridad de control; (12) cualquier obligación de proporcionar Información personal y las consecuencias de no hacerlo; (13) cualquier decisión automatizada; incluida la elaboración de perfiles que puedan realizarse, y (14) un enlace a esta Política, cuando sea posible y procedente. Nuestras notificaciones generales de privacidad para muchas de nuestras partes interesadas se encuentran disponibles en línea en: https://www.organon.com/privacy/contact/
    • Cuando la Información personal se recopila a través de la observación, sensores u otros medios indirectos, puede que no sea posible facilitar un aviso de privacidad directamente al individuo en el momento en que se recopila la información. En tales casos, le garantizamos al individuo la transparencia de la recopilación a través de otros medios, como por ejemplo mediante avisos impresos o publicados en el dispositivo o en los materiales asociados al dispositivo por el cual se obtendrá la información.
    • Cuando la Información personal se recopila a través de un sitio web, una aplicación móvil o cualquier otra aplicación o recurso en línea, aplicamos los estándares específicos de esa tecnología que se describen en nuestra Política de privacidad en Internet y en nuestro Política global de rastreo en línea para garantizar que se cumplen los requisitos de transparencia de acuerdo con esta Política.
    • Cuando la Información personal se recopila a través de otras fuentes sin estar necesariamente bajo la dirección de nuestra empresa, antes de obtener la información verificamos por escrito que el proveedor de esa información ha comunicado a los individuos las formas y los propósitos por los cuales nuestra Empresa tiene pensado usar esa información. Si no se puede obtener una verificación escrita del proveedor de esa información, utilizamos únicamente información anonimizada o cuya identificación se haya eliminado, o bien antes de utilizar la Información personal de esos individuos les informamos con un aviso de privacidad u otros medios similares sobre los siguientes aspectos: (1) la entidad o entidades empresariales de nuestra Empresa responsables del tratamiento, (2) los datos de contacto de nuestro Director de privacidad o del Director de protección de datos regional/local, (3) la información que nuestra Empresa tiene la intención de usar, (4) los propósitos para los cuales tiene la intención de usarla, (5) los fundamentos jurídicos de nuestro tratamiento, (6) los individuos con los que nuestra Empresa la compartirá, (7) si vamos a transferir Información personal a otros países (incluida la identificación de los países pertinentes, si ello fuera viable) y, en caso afirmativo, de qué forma se va a hacer la transferencia, (8) el periodo de tiempo durante el cual nuestra Empresa tiene la intención de conservarla o los criterios a partir de los cuales tomamos esa decisión, (9) la forma en la que pueden preguntar, expresar sus inquietudes o ejercer sus derechos en relación con su Información personal, (10) la forma en la que pueden retirar cualquier consentimiento que hayan otorgado, (11) su derecho a presentar reclamaciones ante cualquier autoridad de control, (12) cualquier obligación de proporcionar Información personal y las consecuencias de no hacerlo, (13) cualquier decisión automatizada, incluida la elaboración de perfiles, que podamos tomar, y (14) un enlace a esta Política, cuando sea posible y procedente.
    • Nos aseguramos de que los mecanismos necesarios de transparencia, incluidos si es posible los mecanismos de apoyo a las solicitudes de derechos de los individuos, estén diseñados en las tecnologías de apoyo, y de que los terceros que respaldan la actividad o el proceso no traten la información sobre personas de una manera incoherente con lo que se les ha comunicado a los individuos a través del aviso de privacidad u otro medio verificable acerca de lo que nosotros u otros que trabajen para nosotros haremos con la información.
    • En los casos en los que solicitamos consentimiento, obtenemos y documentamos pruebas de consentimiento en nuestras tecnologías de apoyo.

    4. Limitación de finalidad: Únicamente utilizamos Información personal de acuerdo con los principios de Necesidad y Transparencia.

    • Si se identifican nuevos propósitos comerciales legítimos para la Información personal previamente recopilada, obtenemos el consentimiento del individuo al nuevo uso de Información personal, o bien garantizamos que el nuevo propósito comercial sea compatible con los propósitos descritos en el aviso de privacidad o en otros mecanismos de transparencia que se facilitaron previamente al individuo (o garantizamos que sea sustancialmente similar a tales propósitos). Decidiremos la compatibilidad en función de (1) cualquier vínculo que hubiera entre los propósitos originales y el nuevo propósito propuesto, (2) las expectativas razonables del individuo, (3) la naturaleza de la Información personal, (4) las consecuencias que el tratamiento adicional podría acarrear al individuo y (5) las medidas de protección que hemos implantado.
    • No aplicamos este principio a la información anonimizada o cuya identificación se haya eliminado o al uso de la Información personal únicamente con fines de búsqueda histórica y científica si (1) un Comité de revisión ética u otro revisor competente ha determinado que el riesgo de ese tipo de uso para la privacidad o para otros derechos de los individuos es aceptable, (2) nosotros hemos implantado las medidas de protección adecuadas para garantizar la minimización de los datos, (3) se pseudoanonimizan los datos personales y (4) se respeta cualquier otra legislación pertinente.
    • Nos aseguramos de que las restricciones de limitación de finalidad están diseñadas en cualquier tipo de tecnología de apoyo, incluida cualquier capacidad de notificación y transmisión de datos.

    5. Calidad de los datos: Nos esforzamos por conservar la Información personal de manera precisa, completa y actualizada, de acuerdo con su uso previsto.

    • Nos aseguramos de que los mecanismos de revisión periódica de los datos están diseñados en las tecnologías de apoyo para validar la precisión de los datos en contraste con las fuentes y los sistemas de transmisión.
    • Nos aseguramos de que la Información confidencial se valida como precisa y actualizada antes de su uso, evaluación, análisis, notificación u otro tratamiento que presente un riesgo de parcialidad para las personas en el caso de que se utilicen datos erróneos u obsoletos.
    • Cuando nuestra Empresa o terceros que trabajan para nuestra Empresa realizan cambios en la Información personal, nos aseguramos de que esos cambios se comunican a los individuos pertinentes de una manera oportuna en la medida de lo posible.

    6. Seguridad: Adoptamos medidas de seguridad para proteger la Información personal y la Información confidencial de la pérdida y mal uso, y del acceso, revelación, alteración o destrucción no autorizados.

    • Hemos implementado un exhaustivo programa de seguridad de la información, y llevamos a cabo controles de seguridad y salvaguardias que se basan en la naturaleza y el grado de confidencialidad de la información y en el nivel de riesgo de la actividad, teniendo en cuenta las mejores medidas tecnológicas actuales y el coste de implementación. Nuestras políticas funcionales de seguridad incluyen, entre otras, los estándares de continuidad empresarial y recuperación de desastres, encriptación, gestión de la identidad y el acceso, clasificación de la información, gestión de incidencias en la seguridad de la información, control de acceso a redes, seguridad física y gestión de riesgos.

    7. Transferencia de datos: Somos responsables de las protecciones de privacidad de la Información personal cuando se transfiere de/a otras organizaciones o a través de fronteras nacionales y somos los encargados de preservarlas.

    (1) Transferimos Información personal en el seno de nuestra Empresa si se cumplen los siguientes requisitos:

    (a) la transmisión es necesaria para cumplir el propósito con el que se recopiló originalmente la Información personal o para satisfacer otro interés legítimo de la Empresa, y (b) el propósito con el que se ha de compartir, y el hecho de que se va a compartir, es coherente con el aviso de privacidad o demás mecanismos de transparencia que se facilitaron al individuo en el momento de la recopilación original de la Información personal y del otorgamiento del consentimiento por parte del individuo en los casos en que fuera necesario, (c) en los casos en que una de nuestras filiales actúa únicamente en nombre de otra de nuestras filiales en el tratamiento de Información personal, (d) en los casos en que sea obligatorio conforme a derecho, tales filiales de nuestra Empresa formalizarán un contrato de tratamiento de datos interno de conformidad con el principio 8 de esta Política, (o; e) en los casos en que la infraestructura de TIC requiere dicha transferencia, siempre que se disponga de las medidas organizativas y de seguridad adecuadas para permitir el cumplimiento de dicha transferencia.

    (2) Transferimos Información personal únicamente para que terceros traten la información, o para permitir que lo hagan, en el supuesto de que se cumplan los siguientes requisitos. Además, también confirmamos que dichos terceros cumplen con dichos requisitos:

    • Si la función del tercero es tratar la Información personal para nuestra empresa o en su nombre, antes de proporcionar la Información personal al tercero o implicarlo en el proceso, llevamos a cabo lo siguiente: (1) ejercer la diligencia debida en materia de privacidad para evaluar las prácticas de privacidad y los riesgos asociados con dicho tercero, (2) obtener garantías contractuales de dichos terceros de que (i) tratarán la Información personal únicamente según las instrucciones de nuestra Empresa y conforme a esta Política, incluidos, entre otros, los ocho (8) Principios de privacidad y otros estándares descritos en esta Política, así como la legislación aplicable; (ii) de que, además, notificarán de inmediato a nuestra Empresa si se produce un Incidente de privacidad, incluyendo cualquier incapacidad de cumplir con los estándares que se describen en esta Política y en la legislación aplicable, o un Incidente de seguridad, y de que cooperarán para remediar de inmediato cualquier Incidente corroborado y respetarán los derechos individuales descritos en la Sección 2 más adelante; (iii) de que no designarán a otra empresa para tratar la Información personal sin nuestra autorización por escrito y sin formalizar un contrato que imponga obligaciones equivalentes en materia de protección de datos; (iv) de que suprimirán de forma segura toda la Información personal, o nos la devolverán, una vez que hayan dejado de prestarnos servicios o previa solicitud o dirección por nuestra parte; y (v) de que ofrecerán a nuestra Empresa la posibilidad de auditar y controlar sus prácticas a fin de demostrar el cumplimiento de estos requisitos durante el tiempo de tratamiento de esos datos. Si los terceros tratan Información personal que se origina en un país o territorio con una legislación que restringe la transferencia de Información personal, nos aseguraremos de que la transferencia al tercero cumple con los requisitos de transferencia transfronteriza de datos descritos en la sección (3), dispuesta a continuación.
    • Si la función del tercero es proporcionar Información personal a nuestra empresa, antes de obtener la Información personal del tercero, nos aseguramos de que se cumplen los requisitos de transparencia para la recopilación de Información personal de otras fuentes, sin estar necesariamente bajo la dirección de nuestra Empresa, y obtenemos representaciones contractuales del tercero de que este no está transgrediendo ninguna ley ni los derechos de ningún otro tercero al proporcionar Información personal a nuestra empresa.
    • Si la función del tercero es recibir información de nuestra Empresa para su tratamiento, sin estar necesariamente bajo la dirección de nuestra Empresa, antes de proporcionar información al tercero, nos aseguramos de que la información ha sido anonimizada y de que su identificación se ha eliminado, y obtenemos garantías por escrito de que el tercero únicamente utilizará dicha información para los propósitos comerciales específicos descritos en el contrato y de conformidad con la Legislación aplicable, sin intentar reidentificar la información.
    • Si la transferencia al tercero es necesaria para proteger los intereses legítimos del individuo o los de la Empresa, podríamos transferir la información (1) con fines de prevención de fraude o para hacer valer o proteger derechos y bienes de la Empresa, (2) para salvaguardar la seguridad personal en nuestros inmuebles de nuestros empleados o de terceros y (3) para proteger nuestros activos adoptando medidas de seguridad correctivas si albergamos sospechas razonables de que se han llevado a cabo actividades ilícitas o conductas indebidas de gravedad.
    • Si nuestra Empresa tiene la intención de absorber el tercero o de adquirir una participación mayoritaria en este, (1) antes de firmar un acuerdo para absorberlo o adquirir una participación mayoritaria en dicho tercero, ejercemos la diligencia debida en materia de privacidad para evaluar las prácticas de privacidad y los riesgos asociados a la adquisición de ese tercero o de una participación mayoritaria en ese tercero, y (2) firmamos un acuerdo de transferencia de datos que especifica los términos y condiciones por los cuales la Información personal se puede revelar y las respectivas obligaciones de nuestra empresa y del tercero.
    • Si la función del tercero es adquirir los negocios de nuestra Empresa parcialmente o en su totalidad, antes de compartir ningún tipo de Información personal en relación con la venta de cualquier parte de nuestros negocios, (1) firmamos un acuerdo de transferencia de datos que especifica los términos y condiciones bajo los cuales se puede revelar Información personal al comprador, incluyendo las limitaciones apropiadas para el uso autorizado de la Información personal y el cumplimiento con los estándares que se describen en esta Política y en la legislación aplicable; (2) minimizamos la compartición de los elementos de datos a solo aquellas ocasiones en las que sea necesario; (3) obtenemos el consentimiento para compartir Información personal o Información confidencial de acuerdo con los principios de Transparencia y Limitación de finalidad de esta Política, y (4) solicitamos al tercero que notifique a nuestra Empresa de inmediato cualquier Incidente de privacidad aplicable, incluyendo cualquier incapacidad de cumplir con los estándares que se describen en esta Política y en la legislación aplicable, y que coopere para remediar de inmediato cualquier Incidente corroborado o para detener el tratamiento de Información personal relevante.

    (3) Transferimos Información personal a través de fronteras nacionales, incluido a Estados Unidos de América (EE. UU.), donde la Empresa tiene su sede, por parte de nuestra Empresa o en su nombre de conformidad con esta Política. Aplicamos esta Política para las transferencias de Información personal desde cualquier otro país o territorio con una legislación que restrinja la transferencia de Información personal, además de cumplir con cualquier imperativo impuesto por tal legislación (incluido el uso de cualquier mecanismo necesario para realizar transferencias transfronterizas a países que no tengan los mismos estándares de protección de datos que el país de origen).

    8. Permitido desde el punto de vista jurídico: Solo tratamos Información personal si se cumplen los requisitos de la Legislación aplicable.

    • Mientras que los otros siete (7) principios de privacidad, al igual que los requisitos de los derechos individuales descritos más adelante, se plantean para asegurar el cumplimiento de los requisitos de la gran mayoría de leyes de protección de datos y de privacidad que son de aplicación para nuestras actividades empresariales en todo el mundo, en algunos países tenemos que cumplir requisitos adicionales, entre otros, los siguientes:

      1) Cuando proceda, obtendremos formularios de consentimiento específicos para ciertos tipos de tratamiento de Información personal, incluida la aprobación del tratamiento por parte de consejos de trabajo y otros sindicatos de trabajadores, entre otros;

      2) Cuando proceda, registraremos el tratamiento de Información personal ante la autoridad reguladora de protección de datos o de privacidad pertinente o solicitaremos la aprobación por parte de la misma;

      3) Cuando proceda, proporcionaremos derechos más amplios (por ejemplo, de acceso y rectificación) que los que se describen en esta Política;

      4) Cuando proceda, reduciremos más los periodos de retención de datos de la Información personal;

      5) Cuando proceda, firmaremos acuerdos que contengan cláusulas contractuales específicas, incluidos los acuerdos de transferencia transfronteriza de datos a terceros; y

      6) Cuando proceda, divulgaremos Información personal en respuesta a solicitudes lícitas formuladas por autoridades públicas, incluidos los casos en que debamos atender solicitudes en materia de seguridad nacional o solicitudes formuladas por las fuerzas y cuerpos de seguridad.

      En caso de conflicto entre esta Política y la legislación aplicable, prevalecerá la normativa que proporcione más protección a los individuos.

  2. Abordaremos con prontitud las solicitudes sobre los derechos de los individuos a acceder, modificar, rectificar o suprimir Información personal; a oponerse al tratamiento de Información personal sobre ellos; o a ejercer otros derechos en relación con su Información personal.
    1. Acceso, rectificación, supresión y otros derechos: Con arreglo a la legislación de la gran mayoría de países en los que operamos, los individuos tienen el derecho de acceder a su Información personal, así como de modificar, rectificar o solicitar que se suprima Información personal que sea errónea, incompleta u obsoleta. Atenderemos a todas las solicitudes de acceso, rectificación o supresión de Información personal de todos los individuos de acuerdo con la Sección 3a, y según lo permitido por la Legislación aplicable. Si una solicitud de acceso, rectificación o supresión de información se rige por una legislación aplicable que proporciona una protección más amplia a los individuos, nos aseguraremos de que se cumplan los requisitos adicionales de esa legislación. En algunos países, es posible que a los individuos les asistan otros derechos respecto de la Información personal acerca de sí mismos, como el derecho a restringir el tratamiento, a oponerse al tratamiento (véase también la Sección 2b, dispuesta a continuación) y a disponer que sus datos sean transferidos a otro proveedor de servicios. Atenderemos el ejercicio de derechos en materia de datos con arreglo a la legislación aplicable. Algunos derechos como el de eliminación pueden ser limitados de acuerdo con otros requisitos reglamentarios o jurídicos o la necesidad de cumplir con la declaración de cumplimiento local; en tal caso, le informaremos sobre estas limitaciones según proceda.
    2. Elección: De acuerdo con nuestros valores de privacidad de “Respeto” y “Confianza”, atendemos a las solicitudes de los individuos de oponerse al tratamiento de Información personal, incluida la opción de dejar de participar en programas o actividades en los que se había aceptado participar previamente, así como de detener el tratamiento de su Información personal para comunicaciones comerciales directas o comunicaciones personales realizadas a medida según esa Información personal, y cualquier otra evaluación o decisión realizada a través del uso de sistemas automatizados o algoritmos que tenga el potencial de afectarles de una manera significativa, entre otras.
      1. Excepto cuando lo prohíba la legislación, puede que deneguemos la opción de elección cuando una solicitud específica pueda obstaculizar a nuestra Empresa en su capacidad para: (1) cumplir la legislación o una obligación ética, incluidos aquellos casos en que las autoridades públicas nos obliguen mediante un requerimiento lícito a divulgar Información personal, incluidos los casos en los que debamos atender solicitudes en materia de seguridad nacional o formuladas por las fuerzas y cuerpos de seguridad; (2) investigar, presentar o defender una demanda judicial; y (3) celebrar contratos, gestionar relaciones o entablar cualquier otra actividad comercial autorizada de acuerdo con los principios de Transparencia y Limitación de finalidad y llevada a cabo basándose en la información sobre las personas en cuestión. En el periodo de quince (15) días hábiles tras cualquier decisión de denegación de una solicitud de elección de acuerdo con esta Política, documentaremos y comunicaremos la decisión al solicitante, a menos que lo requiera de otra forma la ley aplicable.
  3. Responderemos y escalaremos rápidamente todas las preguntas, quejas e inquietudes relacionadas con la privacidad, además de cualquier Incidente de privacidad o Incidente de seguridad potencial.
    1. Cualquier individuo del cual tratemos Información personal dentro del alcance de esta Política puede plantear una pregunta, queja o inquietud a nuestra Empresa en cualquier momento, incluida una solicitud para recibir una lista de todas las filiales de nuestra Empresa que están sujetas a esta Política. Esperamos que nuestros empleados y las demás partes que trabajan en nombre de nuestra Empresa nos informen rápidamente cuando tengan motivos para creer que una legislación aplicable les pueda impedir cumplir con esta Política. Cualquier pregunta, queja o inquietud que un individuo plantee, o cualquier notificación facilitada por un empleado o cualquier otra persona que trabaje en nombre de nuestra empresa, debe dirigirse al Departamento de Privacidad Global:
      1. Por correo electrónico para residentes en el Espacio Económico Europeo (EEE) a: euprivacydpo@organon.com
      2. O por correo electrónico a: privacyoffice@organon.com Por correo postal a: Chief Privacy Officer Organon & Co, 30 Hudson Street, Jersey City, NJ 07302.
    2. Se requiere a los empleados y a los contratistas que comuniquen rápidamente al Departamento de Privacidad Global o al gerente de prácticas empresariales asignado a su área de negocio cualquier pregunta, queja o inquietud relacionada con las prácticas de privacidad de nuestra Empresa.
    3. El Departamento de Privacidad Global revisará e investigará, o trabajará con los compañeros del Departamento de Ética, Jurídico o de Cumplimiento Normativo para investigar todas las preguntas, quejas o inquietudes relacionadas con las prácticas de privacidad de nuestra Empresa, ya se reciban directamente por parte de nuestros empleados, de otros individuos o a través de terceros, entre otros, organismos reguladores, agentes de responsabilidad y otras autoridades gubernamentales. Responderemos a la persona o entidad que haya formulado la pregunta, queja o inquietud a nuestra Empresa en un plazo de treinta (30) días naturales a menos que la legislación o un tercero solicitante requiera que se conteste en un plazo de tiempo inferior, o salvo que las circunstancias exijan un plazo de tiempo superior como, por ejemplo, una investigación del gobierno concurrente, en cuyo caso la persona o tercero solicitante será notificado por escrito tan pronto como sea posible de la naturaleza general de las circunstancias que contribuyen al retraso.
    4. El Departamento de Privacidad Global, en coordinación con los compañeros del Departamento Jurídico y de Cumplimiento Normativo, colaborará en respuesta a cualquier consulta, inspección o investigación de una autoridad reguladora de la privacidad.
    5. Todos los individuos que residan en el EEE, o individuos cuya Información personal esté sujeta a la legislación de protección de datos del EEE y sea transferida fuera del EEE, y cuya información se trate de conformidad con esta Política, tienen en todo momento el derecho, donde las Cláusulas contractuales estándares de la UE se usen para transferir su Información personal, de hacer cumplir los requisitos de las Cláusulas contractuales estándares como terceros beneficiarios, incluido el derecho de emprender una acción judicial para solicitar soluciones jurídicas debido al incumplimiento de sus derechos según las Cláusulas contractuales estándares (tal y como se expone en la Sección 2, dispuesta anteriormente) y el derecho de recibir una indemnización por los daños provocados por tal incumplimiento. Los individuos que residan en el EEE o individuos cuya Información personal esté sujeta a la legislación de protección de datos del EEE y sea transferida fuera del EEE (incluyendo EE. UU.), pueden presentar una reclamación o una queja con arreglo a las Cláusulas contractuales estándares contra la Empresa: las autoridades de protección de datos competentes (en particular en el Estado miembro de su residencia lugar de trabajo o lugar de la presunta infracción). La información de contacto de las autoridades de protección de datos puede encontrarse aquí: Miembros – Consejo Europeo de Protección de Datos (europa.eu)
    6. Nuestra Empresa responderá a la persona o entidad que haya formulado la pregunta, queja o inquietud a nuestra Empresa en el plazo de tiempo asignado por la pregunta, queja o inquietud a nuestra Empresa en el plazo de tiempo asignado por la Legislación aplicable a menos que el tercero solicitante requiera que se conteste en un plazo de tiempo inferior o salvo que las circunstancias exijan un plazo de tiempo más largo, en cuyo caso la persona o el tercero solicitante será notificado por escrito.
  4. Somos responsables de respetar nuestros valores y estándares de privacidad.
    1. La filial de nuestra Empresa responsable de cualquier acción que genere un Incidente de privacidad o un Incidente de seguridad corroborado es responsable desde el punto de vista financiero del importe de cualquier reclamación por daños, multa o sanción que resulte del Incidente de privacidad o Incidente de seguridad.
      1. En coordinación con el Departamento de Privacidad Global (y bajo la dirección del mismo), el Supervisor Europeo de Protección de Datos es responsable de asegurar que se tomen las medidas necesarias para solucionar cualquier supuesto incumplimiento de esta Política, por parte de las filiales de nuestra Empresa fuera del EEE, que afecte a las personas residentes en el EEE o a individuos cuya Información personal esté sujeta a la legislación de protección de datos del EEE y sea transferida fuera del EEE.

Controles de supervisión y vigilancia

Con el objetivo de ofrecer garantías a los reguladores y a otras partes interesadas de que nuestra Empresa es responsable de su compromiso con las prácticas éticas y de privacidad responsables, la Empresa mantiene un grupo de gobernanza exhaustiva de supervisión y vigilancia. Este grupo cuenta con un Director de privacidad, un Departamento de Privacidad Global (GPO) dedicado, con la supervisión de un Consejo de Protección de Datos y de la Privacidad, un Delegado de Protección de Datos (DPD) asignado de un país de la UE, diversos DPD nacionales en los casos en que venga exigido conforme a derecho o según lo dispongan las autoridades locales y Gerentes de Prácticas Empresariales, que son designados por los altos directivos y actúan como enlace entre el Departamento de Privacidad Global y las áreas organizativas en las que trabajan.

Las autoridades de protección de datos y privacidad que han aprobado esta Política o que tienen jurisdicción sobre las prácticas de nuestra empresa de conformidad con esta Política tienen derecho a verificar que nosotros cumplimos con ella. Aceptaremos el consejo de estas autoridades competentes con respecto a la interpretación y la aplicación de esta Política.

Términos que necesita conocer

  • Anonimizado. La alteración, truncamiento, supresión u otra edición o modificación de la Información personal de forma que no se pueda emplear en ningún caso para identificar, localizar o ponerse en contacto con una persona, ya sea por sí sola o combinándola con otros datos.
  • La Empresa, Organon & Co., sus sucesoras, filiales y divisiones en todo el mundo, excluyendo las empresas conjuntas en las que participe nuestra Empresa.
  • Eliminación de la identificación. La eliminación de identificadores personales directos o indirectos, que suelen conservar los datos de identificación original por separado.
  • Incidente de privacidad. Una violación de esta Política o de una ley de protección de datos o de privacidad que incluya un Incidente de seguridad. Corresponde al Departamento de Privacidad Global y al Departamento de Gestión de Riesgos de la Tecnología Empresarial (ITRMS) determinar si se ha producido un incidente de privacidad y si este debe escalarse a una Violación de los datos personales.
  • Violación de los datos personales. Cualquier violación de la seguridad que conduzca a la destrucción, la pérdida o la alteración accidentales o ilícitas de Información personal; a la divulgación no autorizada de esta, o al acceso no autorizado a la misma; o la creencia justificada de nuestra Empresa en la existencia de lo anterior. El acceso a la Información personal por parte de nuestra Empresa o en su nombre sin la intención de infringir la presente Política no constituye una Violación de los datos personales, siempre que la Información personal a la que se accede se use y divulgue posteriormente únicamente para los fines permitidos en esta Política.
  • Incidente de seguridad. Un incidente de seguridad de la información está compuesto de uno o más acontecimientos indeseados e inesperados relacionados con la seguridad de la información que posiblemente podrían comprometer la seguridad de la información y debilitar o perjudicar las operaciones comerciales.
  • Información confidencial. Cualquier tipo de información sobre personas que implique un riesgo inherente de daño potencial para los individuos, incluida la información definida con arreglo a la legislación como confidencial, como la información relacionada con la salud, genética, datos biométricos, raza, origen étnico, religión, opiniones o creencias políticas/filosóficas, antecedentes penales, información precisa de geolocalización, números de cuentas bancarias o financieras de otro tipo, números de identificación oficiales, información sobre menores de edad, vida sexual, orientación sexual, afiliación sindical, seguros, seguridad social y otros beneficios a cuenta del empleador o del gobierno.
  • Información personal. Cualquier dato relacionado con un individuo identificado o identificable, incluidos los datos que identifican a un individuo o que pueden usarse para identificar, localizar, monitorizar o ponerse en contacto con un individuo. La Información personal incluye tanto la información directamente identificable (como puede ser el nombre, el número de identificación o el puesto de trabajo) como la información indirectamente identificable (como puede ser la fecha de nacimiento, el identificador único de un dispositivo móvil o portátil, el número de teléfono o identificadores en línea de datos cifrados tales como direcciones IP o cualquier actividad, conducta o preferencia personal que se pueda recopilar para proveer servicios o productos).
  • Legislación. Todas las leyes, normativas, reglamentos y sentencias con fuerza de ley aplicables en cualquier país en el que nuestra Empresa opera o en el que se trata Información personal por parte de nuestra Empresa o en su nombre. Esto incluye todos los marcos de privacidad con arreglo a los cuales nuestra empresa ha sido aprobada o certificada, que incluyen las Normas de privacidad transfronteriza (CPBR) de la Cooperación Económica Asia-Pacífico (APEC)
  • Tratamiento. Cualquier operación o conjunto de operaciones realizadas con la información sobre personas independientemente de si se llevan a cabo por medio automático, incluidas la recopilación, registro, organización, almacenamiento, acceso, adaptación, modificación, recuperación, consulta, uso, evaluación, análisis, comunicación, uso compartido, divulgación, difusión, transmisión, publicación, alineación, combinación, bloqueo, eliminación, supresión o destrucción de dicha información, entre otras.
  • Terceros. Cualquier entidad legal, asociación o persona que no sea propiedad de nuestra Empresa, o en la que nuestra Empresa no disponga de una participación mayoritaria, o que no esté empleada por nuestra Empresa. Ninguna filial de la Empresa debería considerarse como un tercero.

Cambios de esta Política

Esta Política se puede modificar periódicamente conforme a los requisitos de la legislación aplicable. Se publicará un aviso durante sesenta (60) días en el sitio web sobre privacidad de nuestra empresa (https://www.organon.com/privacy) cada vez que esta Política sea modificada de forma sustancial.