In Organon, la nostra mission, che consiste nel fornire soluzioni sanitarie ingegnose che consentano alle persone di vivere al meglio la propria vita, si estende al rispetto della privacy individuale e alla protezione delle informazioni personali.

Data di revisione: 1 febbraio 2021
Data di entrata in vigore: 1 giugno 2021

Ci sforziamo di condurre la nostra attività secondo i nostri principi sulla privacy in quanto riteniamo che essi dimostrino il nostro fermo impegno nei confronti di pratiche etiche e responsabili in relazione al trattamento dei dati. Riconosciamo che l’innovazione e le nuove tecnologie determinano un cambiamento continuo, pertanto miriamo a un adattamento rapido della modalità di applicazione dei nostri principi sulla privacy in risposta a tale cambiamento.

La presente Procedura definisce i nostri standard globali per la gestione e la protezione delle informazioni personali, nell’ambito del relativo trasferimento transfrontaliero, da parte o per conto della nostra Azienda, indipendentemente dal Paese da cui provengono o verso il quale le informazioni personali possono essere trasferite. La Procedura descrive i nostri impegni chiave, tesi a convalidare la conformità alla nostra certificazione APEC sulla procedura in materia di privacy transfrontaliera.

Questa Procedura si applica alle operazioni che effettuiamo in ogni Paese, compresi i trasferimenti di dati necessari per svolgere tali attività nonché a tutte le persone di cui elaboriamo le informazioni, inclusi, tra gli altri, i professionisti del settore sanitario e altri clienti; dipendenti potenziali, attuali e precedenti e i loro collaboratori; pazienti e chi si occupa di questi ultimi; ricercatori e partecipanti agli studi di ricerca; membri del comitato scientifico ed etico; partner aziendali; investitori e azionisti; funzionari pubblici e altri interlocutori.

Tutti i dipendenti dell’azienda e i dirigenti senior hanno responsabilità fondamentali da perseguire.

Riconosciamo che errori e valutazioni errate in materia di protezione delle informazioni personali possono creare potenziali rischi per la privacy degli individui e rischi operativi, finanziari, per la reputazione e la conformità della nostra azienda. Forniremo la formazione necessaria sulla presente Politica ai dipendenti e ad altro personale che ha accesso, in forma regolare o continuativa, alle Informazioni personali, a chi è coinvolto nel trattamento di dati e a chi assiste le attività di sviluppo degli strumenti utilizzati per trattare le Informazioni personali. Ogni dipendente della nostra Azienda, e tutti coloro che elaborano informazioni per conto di essa, sono resposabili della comprensione e del rispetto dei propri obblighi secondo quanto stabilito dalla presente Politica e dalle leggi applicabili.

I nostri valori e i nostri standard in materia di privacy

Rispettiamo i nostri valori in materia di privacy in tutto il nostro operato. I nostri quattro valori per la privacy sono i seguenti:

Rispetto

Fiducia

Prevenzione dei danni

Conformità

Riconosciamo che le credenze sulla privacy spesso riguardano la nostra stessa essenza, la nostra visione del mondo e la definizione di noi stessi, quindi ci impegniamo a rispettare i punti di vista e gli interessi di individui e comunità e ad essere equi e trasparenti nell’utilizzo e nella condivisione delle loro informazioni.

Sappiamo che la fiducia è di importanza cruciale per il nostro successo, quindi ci impegniamo a costruire e preservare la fiducia di clienti, dipendenti, soggetti partecipanti agli studi e altri interlocutori nel modo in cui rispettiamo la privacy e proteggiamo le informazioni personali.

Comprendiamo che l’uso errato delle informazioni personali può creare un danno, sia materiale che immateriale, agli individui, quindi cerchiamo di prevenire il rischio, per le persone, di subire danni alla propria sicurezza fisica, nonché danni finanziari, di reputazione e di altro tipo inerenti alla privacy.

Abbiamo imparato che le leggi e i regolamenti non possono sempre stare al passo con i cambiamenti rapidi delle tecnologie e dei flussi di dati e con i mutamenti nei rischi e nelle aspettative per la privacy, quindi ci impegniamo a conformarci allo spirito e alla lettera delle leggi e dei regolamenti in materia di privacy e protezione dei dati, in maniera tale da garantire coerenza ed efficienza nelle nostre operazioni a livello globale.

  1. Incorporiamo i nostri standard di privacy nelle attività, processi, tecnologie e relazioni con terze parti che usano le informazioni personali. Integriamo nei nostri processi e nelle nostre tecnologie controlli della privacy coerenti con i nostri valori e standard e con la legge applicabile. Gli otto (8) principi sulla privacy enunciati di seguito riepilogano i nostri standard e requisiti chiave di privacy per i processi, le attività e le tecnologie che li supportano.
    tbody>

    Principio sulla privacy

    I nostri impegni chiave

    1. Necessità: prima di raccogliere, usare o condividere le informazioni personali, definiamo e documentiamo i fini aziendali specifici e legittimi che ne giustificano la necessità.

    • Determiniamo quali informazioni personali siano necessarie, e per quanto tempo, per scopi aziendali determinati e quali sono gli obblighi legali di pertinenza. Documentiamo la nostra determinazione.
    • Non raccogliamo, usiamo o condividiamo una quantità di informazioni personali superiore a quanto necessario né le conserviamo in una forma identificabile per un periodo di tempo superiore a quello necessario per i fini aziendali definiti e relativi obblighi legali.
    • Rendiamo anonime, o non identificabili, le informazioni personali laddove le esigenze aziendali richiedano che i dati su un’attività o su un processo che implichino l’uso di Informazioni personali siano conservati per un periodo di tempo più lungo.
    • Verifichiamo che i requisiti di necessità siano integrati in tutte le tecnologie di supporto e che siano comunicati alle terze parti che sostengono l’attività o il processo.

    2. Correttezza: elaboriamo le informazioni personali in modo corretto nei confronti delle persone a cui i dati sono correlati.

    • Determiniamo se la raccolta, l’uso o un altro tipo di elaborazione proposto delle informazioni personali presenti un ragionevole potenziale e/o grave rischio di danno tangibile o intangibile per gli individui, in conformità con il nostro Valore privacy di Prevenzione dei danni.
    • Se la natura dei dati, i tipi di soggetti o l’attività presentano un rischio ragionevolmente potenziale e/o grave di danno tangibile o intangibile per gli individui, verifichiamo che il rischio di danno sia superato da un corrispondente beneficio per tali individui o per la nostra mission di salvare e migliorare le vite e sia mitigato dai meccanismi e dalle misure di tutela adottate da Organon.
    • Laddove il rischio paia superare i benefici per gli individui, applichiamo le misure di sicurezza e protezione più rilevanti, informiamo gli individui di questo fatto e cerchiamo l’opportuno parere dell’autorità di regolamentazione competente.
    • Elaboriamo le informazioni sensibili solo con il consenso esplicito degli individui, se richiesto o consentito espressamente dalla legge applicabile.
    • Laddove il rischio sembri superare i benefici per gli individui, noi documentiamo l’analisi dei rischi e attuiamo meccanismi di protezione atti a minimizzare i rischi il più possibile.

    3. Trasparenza: elaboriamo le informazioni personali secondo modalità o fini totalmente trasparenti alle persone a cui si riferiscono.

    • Tutti gli individui le cui informazioni personali vengono elaborate secondo la presente Procedura hanno diritto a una copia della stessa. Renderemo disponibili online copie della presente Procedura all’indirizzo www.organon.com/privacy, e forniremo su richiesta copie in formato elettronico e/o cartacee di questa Procedura agli indirizzi elencati in basso.
    • Quando i dati personali vengono raccolti direttamente dagli individui, prima di raccogliere tali informazioni forniamo un’informativa sulla privacy chiara, trasparente in merito a: (1) l’entità o le entità dell’azienda responsabili del trattamento; (2) i dettagli di contatto del responsabile della privacy (Chief Privacy Officer, CPO) e/o del responsabile della privacy dei dati locale/regionale; (3) le informazioni che verranno raccolte; (4) le finalità per cui verranno utilizzate; (5) la base giuridica per il relativo trattamento; (6) con chi verranno condivise, incluso qualsivoglia requisito richiesto per la divulgazione delle Informazioni personali in risposta a legittime richieste delle autorità governative; (7) se e in quale modalità le informazioni personali verranno trasferite in altri Paesi, inclusa l’identificazione dei Paesi pertinenti di , laddove sia possibile; (8) per quanto tempo tali informazioni saranno conservate o i criteri in base ai quali stabiliremo la durata del periodo di conservazione; (9) come gli interessati possono porre domande, sollevare dubbi o esercitare i loro diritti in relazione alle loro Informazioni personali; (10) come possono annullare il consenso conferito in precedenza; (11) il loro diritto a presentare un reclamo presso l’autorità di controllo competente; (12) qualsiasi obbligo che impone di fornire le Informazioni personali e le conseguenze derivanti dalla mancata adempienza a tale obbligo; (13) qualsiasi processo decisionale automatizzato eventualmente adottato, inclusa la profilazione; e (14) un link alla presente Procedura, dove possibile e nei casi appropriati. Le modalità con cui operiamo sulla privacy per molti dei nostri interlocutori sono disponibili online all’indirizzo https://www.organon.com/privacy/contact/
    • Quando le Informazioni personali vengono ottenute tramite osservazioni, sensori o altri mezzi indiretti, può non essere possibile fornire un’informativa sulla privacy direttamente all’individuo al momento della raccolta. In tali casi, garantiamo trasparenza tramite altri mezzi, ad esempio la pubblicazione o la stampa sul dispositivo o materiali associati al dispositivo su cui verranno trattati i dati.
    • Quando le informazioni personali vengono raccolte tramite un sito Web, un’app per dispositivi mobili o un’altra applicazione o risorsa online, applichiamo gli standard tecnologici specifici descritti nella nostra Procedura sulla privacy in Internet e nella nostra Politica globale sul tracciamento online  per garantire che siano soddisfatti i requisiti in materia di trasparenza sanciti nella presente Procedura.
    • Quando le informazioni personali vengono raccolte da altre fonti non gestite specificamente dalla nostra Azienda, prima di ottenere le informazioni verifichiamo per iscritto che il fornitore abbia informato gli individui sui metodi e i fini per cui l’Azienda intende usare le informazioni. Se non è possibile ottenere una verifica scritta dal fornitore delle informazioni, usiamo solo informazioni rese anonime o non identificabili oppure, prima di utilizzare le informazioni personali, informiamo gli individui interessati tramite un’informativa sulla privacy o mezzi simili indicando (1) l’entità o le entità dell’Azienda responsabili dell’elaborazione delle informazioni, (2) i dettagli di contatto del responsabile della privacy e/o del responsabile della protezione dei dati locale/regionale, (3) di quali informazioni è previsto l’utilizzo, (4) i fini per cui l’Azienda prevede di utilizzarle, (5) la base giuridica per il trattamento (6) con chi l’Azienda le condividerà, (7) se e in quale modalità le Informazioni personali verranno trasferite dall’azienda inaltri Paesi, inclusa l’identificazione di quelli pertinenti, laddove sia fattibile, (8) per quanto tempo l’Azienda prevede di conservare tali informazioni o i criteri in base ai quali stabiliremo la durata del periodo di conservazione, (9) come possono porre domande, sollevare dubbi o esercitare i loro diritti in relazione alle loro Informazioni personali, (10) come possono annullare il consenso conferito in precedenza, (11) il loro diritto a presentare un reclamo presso l’autorità di controllo competente, (12) qualsiasi obbligo che impone di fornire le Informazioni personali e le conseguenze derivanti dalla mancata adempienza a tale obbligo, (13) qualsiasi processo decisionale automatizzato eventualmente adottato, inclusa la profilazione, e (14) un link alla presente Procedura, dove possibile e nei casi appropriati.
    • Garantiamo che i necessari meccanismi di trasparenza, inclusi, laddove possibile, meccanismi a supporto delle richieste di diritti individuali, siano integrati nelle tecnologie di supporto, e che le terze parti che supportano l’attività o il processo non elaborino informazioni personali in maniera non conforme a quanto comunicato mediante informativa sulla privacy o altro mezzo verificabile sull’utilizzo delle informazioni da parte nostra o di soggetti che operano per nostro conto.
    • Quando chiediamo il consenso, otteniamo e documentiamo la prova del consenso nelle nostre tecnologie di supporto.

    4. Limitazione dei fini: usiamo le informazioni personali solo in conformità con i principi di necessità e trasparenza.

    • Nel caso in cui vengano individuati nuovi e legittimi fini aziendali per le informazioni personali raccolte in precedenza, otteniamo il consenso dell’individuo per il nuovo impiego delle sue Informazioni personali o ci assicuriamo che il nuovo fine aziendale sia compatibile con, e materialmente simile ai fini descritti in un’informativa sulla privacy o nella comunicazione fornita precedentemente all’individuo. La compatibilità dovrà tener conto tra l’altro di (1) ogni nesso tra tali finalità e le finalità dell’ulteriore trattamento previsto, (2) delle ragionevoli aspettative dell’interessato, (3) della natura delle Informazioni personali, (4) delle conseguenze dell’ulteriore trattamento previsto per gli interessati, e (5) dell’esistenza di garanzie adeguate adottate.
    • Non applichiamo questo principio alle informazioni rese anonime o non identificabili nei casi in cui usiamo le informazioni personali esclusivamente a fini di ricerca storica e scientifica e (1) un comitato di revisione etica, o altro revisore competente, abbia determinato che il rischio di tale impiego per la privacy e altri diritti individuali sia accettabile, (2) siano state adottate tutele adeguate per garantire il principio di minimizzazione dei dati, (3) i dati personali siano oggetto di pseudonimizzazione, e (4) siano rispettate tutte le altre leggi applicabili.
    • Le restrizioni dovute alla limitazione dei fini sono integrate in qualunque tecnologia di supporto, incluse le capacità di reporting e la condivisione dei dati downstream.

    5. Qualità dei dati: facciamo ogni sforzo per preservare l’accuratezza, la completezza e l’aggiornamento delle informazioni personali, conformemente con l’uso previsto.

    • Verifichiamo che meccanismi di revisione periodica dei dati siano integrati nelle tecnologie di supporto per convalidare l’accuratezza dei dati rispetto ai sistemi di origine e downstream.
    • Verifichiamo che sia convalidata l’accuratezza e l’attualità delle informazioni sensibili prima del loro uso, della valutazione, dell’analisi, del reporting o di altre elaborazioni che presentino un rischio di mancata correttezza per le persone nel caso in cui vengano usati dati inaccurati o obsoleti.
    • Laddove vengano apportate modifiche alle informazioni personali da parte della nostra Azienda o da terze parti che operano per conto della nostra Azienda, verifichiamo che tali modifiche siano comunicate agli individui interessati in maniera tempestiva.

    6. Sicurezza: poniamo in essere difese per proteggere le informazioni personali e le informazioni sensibili da perdita, uso improprio e accesso non autorizzato, divulgazione, alterazione e distruzione.

    • Abbiamo implementato un programma di sicurezza delle informazioni e applichiamo controlli di sicurezza e meccanismi di protezione basati sulla natura e sulla sensibilità delle informazioni e sul livello di rischio dell’attività, prendendo in considerazione le best practice tecnologiche disponibili. Le nostre politiche di sicurezza a livello di funzione includono, tra gli altri, standard di business continuity e disaster recovery, crittografia, gestione delle identità e dell’accesso, classificazione delle informazioni, gestione degli incidenti relativi alla sicurezza delle informazioni, controllo dell’accesso alla rete, sicurezza fisica e gestione dei rischi.

    7. Trasferimento dati: Siamo responsabili di preservare la privacy delle informazioni personali quando queste vengono trasferite a o da altre organizzazioni o tra Paesi diversi.

    (1) Trasferiamo le Informazioni personali all’interno del Gruppo a cui appartiene l’Azienda, previo soddisfacimento dei criteri seguenti:

    (a) se la condivisione delle Informazioni personali è necessaria a conseguire le finalità per le quali sono state originariamente raccolte o a conseguire un altro legittimo interesse aziendale; e (b) se la finalità su cui poggia la condivisione e in base alla quale verrà effettuata è coerente con l’informativa sulla privacy o con altri meccanismi di trasparenza forniti in precedenza all’individuo al momento della raccolta delle sue Informazioni personali e in favore delle quali l’individuo aveva conferito il proprio consenso, laddove necessario; (c) laddove una sussidiaria della nostra Azienda agisca da sola per conto di un’altra sussidiaria nel trattamento delle Informazioni personali; (d) laddove, subordinatamente a un obbligo di legge, sia stato sottoscritto un accordo interno sul trattamento di dati conformemente al Principio 8 della presente Procedura; o (e) quando l’infrastruttura informatica richiede tale trasferimento, a condizione che tutte le misure di sicurezza e organizzative appropriate siano in atto per rendere tale trasferimento conforme.

    (2) Il trasferimento delle informazioni personali a terze parti, o tramite terze parti, avviene solo nel caso in cui vengano soddisfatti i seguenti requisiti e dietro nostra garanzia che dette terze parti agiscano nel rispetto degli stessi:

    • Se il ruolo della terza parte è elaborare le informazioni personali per o per conto della nostra azienda, prima di fornire le informazioni personali alla terza parte o di coinvolgerla: (1) completiamo la procedura di due diligence di privacy per valutare le pratiche di privacy e i rischi associati a detta terza parte, (2) sottoscriviamo con le terze parti specifiche clausole contrattuali per cui esse (i) elaboreranno le informazioni personali attenendosi esclusivamente alle istruzioni della nostra Azienda e in conformità con la presente Procedura, inclusi senza limitazioni tutti gli otto (8) principi di privacy e gli altri standard definiti in questa Procedura e nelle leggi applicabili; (ii) notificheranno immediatamente alla nostra Azienda eventuali incidenti relativi alla privacy, inclusa qualsiasi incapacità nel conformarsi agli standard esposti in questa Procedura e alle leggi applicabili, o alla sicurezza, e coopereranno per rimediare prontamente a eventuali incidenti comprovati e per rispettare i diritti dei singoli esposti nella Sezione 2 più avanti; (iii) non collaboreranno con un’altra azienda per trattare le informazioni personali senza la nostra autorizzazione scritta e senza sottoscrivere un accordo che preveda gli stessi obblighi in materia di protezione dei dati; (iv) cancelleranno o restituiranno alla nostra Azienda, in totale sicurezza, tutte le Informazioni personali dopo aver evaso tutti i servizi a noi erogati o su nostra richiesta o indicazione; e (v) consentiranno alla nostra Azienda di controllare e monitorare le loro pratiche, al fine di verificarne la conformità con tali requisiti, per l’intera durata del trattamento. Inoltre, se la terza parte elabora informazioni personali originate in un Paese o territorio le cui leggi limitano il trasferimento delle informazioni personali, verificheremo che il trasferimento alla terza parte soddisfi i requisiti relativi al trasferimento transfrontaliero dei dati descritti al punto (3) in basso.
    • Se il ruolo della terza parte è fornire informazioni personali alla nostra Azienda, prima di ottenere le informazioni personali dalla terza parte verifichiamo che siano soddisfatti i requisiti di trasparenza nella raccolta di tali informazioni da altre fonti non gestite specificamente dalla nostra Azienda e otteniamo dalla terza parte una dichiarazione contrattuale di non violazione di leggi o diritti di terze parti fornendo informazioni personali alla nostra azienda.
    • Se il ruolo della terza parte è ricevere dalla nostra Azienda informazioni per il trattamento non specificamente sotto la nostra direzione, prima di fornire tali informazioni alla terza parte verifichiamo che le informazioni siano state rese anonime o non identificabili che siano state ottenute assicurazioni scritte dalla terza parte che esse verranno impiegate solo per gli specifici fini aziendali definiti nel contratto e in conformità con le leggi applicabili e che non verranno effettuati tentativi di identificazione delle informazioni.
    • Se il trasferimento a una terza parte è subordinato a un obbligo di legge o necessario a tutelare gli interessi legittimi dell’individuo o dell’Azienda, possiamo trasferire le informazioni: (1) ai fini di prevenzione delle frodi o di esercitare o tutelare i diritti e i beni dell’Azienda, (2) ai fini della tutela personale della sicurezza dei nostri dipendenti o terze parti in relazione ai nostri beni o (3) allo scopo di proteggere le nostre attività adottando provvedimenti di sicurezza correttivi in caso abbiamo basi ragionevoli per presumere che si sia verificata un’attività illecita o una condotta impropria grave.
    • Se la terza parte è obiettivo di un’acquisizione o di controllo da parte della nostra Azienda, (1) prima di stipulare un accordo di acquisizione o di controllo della terza parte, completiamo la procedura di due diligence di privacy per valutare le pratiche di privacy e i rischi associati all’acquisizione o al controllo della terza parte, e (2) stipuliamo un accordo per il trasferimento dati che specifichi i termini e condizioni in base ai quali le informazioni personali possono essere divulgate e i rispettivi obblighi della nostra azienda e della terza parte.
    • Se il ruolo della terza parte è acquisire in tutto o in parte l’attività della nostra Azienda, prima di condividere informazioni personali in connessione con l’alienazione di una parte dell’attività dell’Azienda, (1) stipuliamo un contratto di trasferimento dati che specifichi i termini e condizioni in base ai quali le informazioni personali possono essere divulgate all’acquirente, incluse le adeguate limitazioni riguardanti gli usi consentiti delle informazioni personali e la conformità allo standard esposto in questa Procedura e nella legge applicabile, (2) riduciamo al massimo la condivisione dei dati allo stretto necessario, (3) otteniamo il consenso alla condivisione di informazioni personali o informazioni sensibili in conformità con i principi di trasparenza e limitazione dei fini della presente Procedura e (4) richiediamo alle terze parti di comunicare prontamente alla nostra Azienda eventuali incidenti di privacy, inclusa qualsiasi incapacità nel conformarsi agli standard esposti nella presente Procedura e nelle leggi applicabili, e di cooperare per rimediare prontamente a eventuali incidenti comprovati o di terminare il trattamento delle informazioni personali in questione.

    (3) Il trasferimento delle informazioni personali tra Paesi, inclusi gli Stati Uniti (USA) dove la nostra Azienda ha la propria sede, e da o per conto della nostra Azienda avviene in conformità con la presente Procedura. Applicheremo la stessa ai trasferimenti di informazioni personali da un altro Paese o territorio che abbia in vigore una legge che limita il trasferimento di informazioni personali oltre ad adempiere ad obblighi imposti da tali leggi (inclusa l’adozione di meccanismi necessari per i trasferimenti transfrontalieri) a Paesi che non hanno gli stessi standard di protezione dei dati del Paese d’origine).

    8. Consentito dalla legge: elaboriamo le informazioni personali solo se i requisiti delle leggi applicabili sono soddisfatti.

    • Mentre gli altri sette (7) principi di privacy, così come i requisiti dei diritti individuali descritti di seguito, servono a garantire che siano soddisfatti i requisiti della maggior parte delle leggi sulla privacy e la protezione dei dati che si applicano alla nostra attività a livello mondiale, in alcuni Paesi dobbiamo soddisfare ulteriori requisiti, tra cui i seguenti:

      1) Laddove richiesto, otterremo forme specifiche di consenso per alcune elaborazioni di informazioni personali, tra cui l’approvazione dell’elaborazione da parte di consigli dei lavoratori e altre organizzazioni sindacali;

      2) Laddove richiesto, registreremo l’elaborazione delle informazioni personali presso l’autorità Garante Privacy;

      3) Laddove richiesto, forniremo diritti di accesso e correzione più ampi di quanto descritto nella presente Procedura;

      4) Laddove richiesto, limiteremo ulteriormente i periodi di conservazione dei dati per le informazioni personali;

      5) Laddove richiesto, stipuleremo contratti contenenti clausole specifiche, inclusi i contratti per il trasferimento dei dati transfrontalieri a terze parti.

      6) Laddove richiesto, divulgheremo le informazioni personali in risposta a richieste legali da parte delle autorità pubbliche, incluso il soddisfacimento dei requisiti di sicurezza nazionale e di applicazione della legge.

      In caso di conflitto tra la presente Procedura e una legge applicabile, prevarrà lo standard che prevede una maggiore protezione degli individui.

  2. Risponderemo con sollecitudine alle richieste degli individui circa i loro diritti all’accesso, alla modifica, alla correzione o eliminazione delle Informazioni personali o di opposizione al trattamento delle Informazioni personali che li riguardano o di richiesta di esercitare i loro diritti in relazione alle loro Informazioni personali.
    1. Accesso, correzione, eliminazione e altri diritti: le leggi della maggior parte dei Paesi in cui operiamo prevedono per gli individui diritti di accesso alle informazioni personali che li riguardano e alla modifica, alla correzione o a richiedere l’eliminazione delle informazioni personali imprecise, incomplete o obsolete. Daremo seguito a tutte le richieste di accesso, correzione ed eliminazione delle informazioni personali da tutti gli individui, in conformità con la Sezione 3a in basso e in base a quanto consentito dalla legge applicabile. Se una richiesta di accesso, correzione o eliminazione è governata da una legge applicabile che fornisce maggiore protezione individuale, garantiremo che i requisiti aggiuntivi di tale legge siano soddisfatti. In alcuni Paesi, è possibile che gli individui dispongano di altri diritti in relazione alle Informazioni personali che li riguardano, tra cui il diritto a limitare il trattamento, a opporsi al trattamento (consultare la Sezione 2b riportata di seguito) e a richiedere il trasferimento dei loro dati a un altro fornitore di servizi. Rispetteremo i diritti relativi ai dati conformemente alle leggi applicabili. Alcuni diritti, come la cancellazione, possono essere limitati in base ad altri requisiti normativi o legali o alla necessità di conformarsi agli obblighi locali di rendicontazione sulla compliance; in tal caso vi informeremo su queste limitazioni come applicabile.
    2. Scelta: conformemente con i valori di privacy “Rispetto” e “Fiducia”, diamo seguito alle richieste degli individui di negare il consenso all’elaborazione delle informazioni personali, come la rinuncia a programmi e attività a cui avevano in precedenza accettato di partecipare, l’elaborazione delle informazioni personali che li riguardano per comunicazioni di marketing dirette, comunicazioni mirate basate sulle informazioni personali e qualunque valutazione o decisione che li riguardi e che possa avere effetti significativi su di loro, eseguita con l’uso di processi automatizzati o algoritmi.
      1. Salvo i casi previsti dalla legge, possiamo negare la scelta, laddove una richiesta particolare possa costituire un impedimento per la nostra Azienda nella sua capacità di: (1) conformarsi a una legge o un obbligo etico anche nel caso in cui siamo tenuti a divulgare Informazioni personali in risposta a richieste legali da parte delle autorità pubbliche, incluso il soddisfacimento dei requisiti di sicurezza nazionale e di applicazione della legge, (2) investigare su esercitare o difendere azioni legali e (3) stipulare contratti, amministrare relazioni o impegnarsi in altre attività aziendali consentite dai principi di trasparenza e limitazione dei fini e che siano state avviate in relazione alle informazioni personali in questione. Entro quindici (15) giorni lavorativi da ogni decisione di negare una richiesta di scelta in conformità con la presente Procedura, documenteremo e comunicheremo la decisione al richiedente se non diversamente richiesto dalla legge applicabile.
  3. Replicheremo con sollecitudine e inoltreremo agli uffici preposti tutte le domande collegate alla privacy, i reclami, i dubbi e i possibili incidenti di privacy o sicurezza.
    1. Tutti gli individui per i quali elaboriamo le informazioni personali nell’ambito della presente Procedura possono inoltrare una domanda, un reclamo o un dubbio alla nostra Azienda in qualunque momento, incluse le richieste di elenchi di tutte le sussidiarie della nostra Azienda soggette alla presente Procedura. Ci aspettiamo che tutti i dipendenti e coloro che operano per conto della nostra Azienda forniscano notifiche tempestive laddove abbiano motivo di pensare che una legge applicabile possa impedire loro di conformarsi con la presente Politica. Tutte le domande, i reclami o i dubbi di un individuo, o qualunque notifica fornita da un dipendente o da qualunque altra persona che operi per conto della nostra azienda, devono essere dirette all’ufficio per la privacy globale:
      1. Tramite e-mail per gli individui residenti nello Spazio economico europeo (SEE) a: euprivacydpo@organon.com
      2. Altrimenti tramite e-mail a: privacyoffice@organon.com
    2. Tramite posta ordinaria all’indirizzo: Chief Privacy Officer, Organon & Co., 30 Hudson Street, Jersey City, NJ 07302. Dipendenti e consulenti sono tenuti a informare tempestivamente l’ufficio per la privacy corporate o il responsabile delle pratiche aziendali incaricato per la propria area commerciale di eventuali domande, reclami o dubbi legati alle procedure della nostra Azienda in materia di privacy.
    3. L’ufficio per la privacy corporate effettuerà esami e indagini o collaborerà con i colleghi dell’ufficio per l’etica, di quello legale e/o di quello della compliance, per approfondire tutte le questioni, i reclami e i dubbi collegati alle procedure della nostra azienda in materia di privacy, ricevute direttamente dai dipendenti o da altri individui o tramite terze parti, tra cui le agenzie normative, e altre autorità statali. Risponderemo al singolo o all’entità che ha sollevato la domanda o il dubbio alla nostra Azienda entro trenta (30) giorni, a meno che una legge o una terza parte non richieda una risposta in un periodo di tempo più breve o che le circostanze, ad esempio un’indagine concomitante, comportino un periodo di tempo più lungo. In questo caso, il richiedente singolo o la terza parte riceverà appena possibile una notifica in forma scritta con l’indicazione della natura generale delle circostanze che contribuiscono al ritardo.
    4. L’ufficio per la privacy corporate, coordinandosi con i colleghi dell’ufficio legale e di quello della compliance, collaborerà per rispondere a qualunque inchiesta, ispezione o indagine da parte di un’autorità normativa in materia di privacy.
    5. Tutti i residenti nell’area SEE, o gli individui le cui informazioni personali sono soggette alla legge sulla protezione dei dati dell’area SEE e trasferite al di fuori di tale area, le cui informazioni vengono elaborate in base alla presente Procedura, hanno il diritto, laddove si faccia affidamento sulle clausole contrattuali standard dell’UE per il trasferimento delle loro informazioni personali, di invocarne in qualunque momento i requisiti in qualità di beneficiari esterni, incluso il diritto di intraprendere un’azione giudiziaria per violazione dei propri diritti sanciti da dette clausole contrattuali standard e il diritto di ricevere un indennizzo per i danni risultanti da tale violazione. I residenti nell’area SEE o gli individui le cui informazioni personali sono soggette alla legge sulla protezione dei dati dell’area SEE e trasferite al di fuori di tale area (inclusi gli Stati Uniti), possono, in base alle clausole contrattuali standard, intraprendere un’azione legale o inoltrare un reclamo nei confronti dell’Azienda presso le autorità competenti per la protezione dei dati (in particolare nello Stato membro della propria residenza abituale, del proprio luogo di lavoro o del luogo della presunta violazione). Le informazioni di contatto delle autorità di protezione dei dati sono reperibili qui: Membri | Comitato europeo per la protezione dei dati (europa.eu)
    6. La nostra Azienda risponderà al singolo o all’entità che ha sollevato la domanda, il reclamo o il dubbio entro il periodo di tempo previsto dalla legge applicabile, a meno che una terza parte non richieda una risposta in un periodo di tempo più breve o che le circostanze comportino un periodo di tempo più lungo. In questo caso, il richiedente singolo o la terza parte riceverà una notifica in forma scritta.
  4. Abbiamo la responsabilità di rispettare i nostri valori e i nostri standard in materia di privacy.
    1. La sussidiaria della nostra Azienda responsabile di un’azione che dia adito a un incidente di privacy o un incidente di sicurezza comprovato è finanziariamente responsabile del risarcimento dovuto per eventuali danni o sanzioni amministrative o penalità derivanti da tali incidenti.
      1. In coordinamento con e sotto la direzione dell’ufficio per la privacy corporate, il Responsabile della protezione dei dati europeo deve garantire che vengano adottate tutte le azioni necessarie per affrontare le presunte violazioni della presente Politica da parte delle sussidiarie della nostra Azienda al di fuori dell’area SEE e che abbiano effetto sui residenti dell’area SEE o sugli individui le cui informazioni personali sono soggette alla legge sulla protezione dei dati dell’area SEE e trasferite al di fuori di tale area.

Supervisione e monitoraggio

Per fornire assicurazione agli organi governativi e ad altri interlocutori sull’impegno della nostra Azienda nei confronti delle pratiche etiche e responsabili, l’Azienda continua a mantenere un gruppo di governance per il controllo e il monitoraggio, guidato da un responsabile della privacy con un ufficio per la privacy corporate (Global Privacy Office, GPO) dedicato, con la supervisione di un comitato per la privacy e la protezione dei dati, un responsabile della protezione dei dati (DPO) dell’UE, DPO locali laddove richiesto dalla legge o dalle autorità locali e Responsabili delle pratiche aziendali nominati dai dirigenti senior e che fungono da mediatori tra l’ufficio per la privacy corporate e le aree dell’organizzazione in cui operano.

Termini che dovete conoscere

  • Anonimizzazione. Alterazione, troncamento, cancellazione o altro tipo di redazione o modifica delle informazioni personali, in maniera tale da impedirne irreversibilmente l’utilizzo per identificare, localizzare o contattare un individuo, singolarmente o unitamente ad altre informazioni.
  • Azienda. Organon & Co., i suoi successori e le sue affiliate e divisioni di tutto il mondo, escluse le joint venture di cui la nostra Azienda è parte.
  • Deidentificazione. Rimozione di identificativi personali diretti e indiretti, spesso conservando separatamente i dati identificativi originali
  • Elaborazione. L’esecuzione di qualsiasi operazione o serie di operazioni sulle informazioni personali, con o senza mezzi automatici, inclusi, tra gli altri, la raccolta, la registrazione, l’organizzazione, l’archiviazione, l’accesso, l’adattamento, l’alterazione, il recupero, la consultazione, l’utilizzo, la valutazione, l’analisi, il reporting, la condivisione, la divulgazione, la diffusione, la trasmissione, la disponibilità, l’allineamento, la combinazione, il blocco, l’eliminazione, la cancellazione o la distruzione.
  • Incidente di privacy. Una violazione della presente Procedura o di una legge sulla privacy o la protezione dei dati, che include un incidente di sicurezza. L’ufficio per la privacy corporate, il reparto BTRMS (Business Technology Risk Management and Security) e l’ufficio legale hanno la responsabilità di stabilire se sia avvenuto un incidente di privacy e se sia da ritenersi un Violazione dei Dati Personali.
  • Informazioni personali. Qualunque dato riguardante un individuo identificato o identificabile, inclusi i dati che identificano un individuo o che possono essere usati per identificare, individuare, registrare o contattare un individuo. Le Informazioni personali includono informazioni di identificazione diretta, ad esempio il nome, il numero di identificazione o la qualifica univoca, e informazioni di identificazione indiretta, come la data di nascita, l’identificativo univoco di un dispositivo mobile o indossabile, il numero di telefono o dati codificati con chiave e codici di identificazione online, ad esempio gli indirizzi IP o qualsiasi attività personale, comportamento o preferenze che possono essere raccolti per fornire servizi o prodotti.
  • Informazioni sensibili. Qualunque tipo di informazioni personali che comporti un rischio intrinseco di danni a individui, come le informazioni definite dalla legge come sensibili, incluse, tra le altre, le informazioni relative allo stato di salute, dati genetici, biometrici, la razza, l’etnia, la religione, le opinioni politiche o le convinzioni filosofiche, i precedenti penali, informazioni di geolocalizzazione precise, numeri di conto bancari o simili, numeri di documenti di identificazione emessi dallo stato, informazioni su minori, vita sessuale, orientamento sessuale, iscrizione a organizzazioni sindacali, assicurazione, previdenza sociale e altri benefit erogati dal datore di lavoro o di natura pubblica.
  • Legge. Tutte le leggi, le regole, i regolamenti e le ordinanze applicabili che hanno forza di legge in un Paese in cui la nostra Azienda opera oppure in cui le informazioni personali vengono elaborate da o per conto della nostra Azienda. Sono inclusi tutti i quadri normativi sulla privacy in base ai quali la nostra azienda è stata approvata o certificata, come le Regole in materia di privacy transfrontaliera (“CBPR”), della Cooperazione Economica Asiatico-Pacifica (“APEC”).
  • Terza parte. Qualunque entità legale, associazione o persona non controllata dalla nostra Azienda oppure nella quale la nostra Azienda non abbia un assetto di controllo o che non sia dipendente della nostra Azienda. Nessuna affiliata dell’Azienda deve essere considerata una terza parte.
  • Violazione dei Dati Personali. Una violazione della sicurezza, o presunta tale dalla nostra Azienda, che comporta l’accidentale o illegittima distruzione, perdita, alterazione, divulgazione o accesso non autorizzato alle Informazioni personali. L’accesso alle informazioni personali da parte o per conto della nostra Azienda senza l’intento di violare la presente Procedura non costituisce una Violazione dei Dati Personali, a patto che le informazioni a cui si accede vengano utilizzate e divulgate solo nei limiti consentiti dalla stessa.
  • Incidente di sicurezza. Un incidente di sicurezza delle informazioni è costituito da uno o più eventi indesiderati o imprevisti che potrebbero compromettere la sicurezza di tali dati e indebolire o mettere a repentaglio le operazioni aziendali.

Modifiche alla presente Procedura

Questa Procedura potrà essere modificata di volta in volta, conformemente con i requisiti della legge applicabile. Ogni volta che verrà modificata in maniera sostanziale, sulla pagina Web dell’azienda dedicata alla privacy (https://www.organon.com/privacy) verrà pubblicata una nota per la durata di sessanta (60) giorni.