POLÍTICA GLOBAL DE ASTRAZENECA | PRIVACIDAD DE LA INFORMACIÓN

Esta Política Global estipula los requisitos para garantizar que recogemos, utilizamos, conservamos y divulgamos información personal de manera justa, transparente y segura.
La información personal es cualquier dato sobre una persona física identificada o identificable (ya sean nuestros empleados, pacientes, accionistas, contratistas o el personal de nuestros proveedores, visitantes a nuestros edificios o sitio web).

¿Para quién es esta política?
Todos los empleados y personal temporal de la empresa que tengan acceso a la información personal como parte de sus actividades comerciales.
Los gerentes, que sean responsables de garantizar que controles adecuados de privacidad estén vigentes dentro de la función comercial.
Los patrocinadores de programas y proyectos, que sean responsables de garantizar que los requisitos de privacidad sean evaluados en una etapa temprana e incorporados en los procesos, sistemas y servicios donde sea necesario.
Se espera que los terceros que realizan servicios para o en nombre de la empresa adopten estándares de conducta concordantes con los principios de esta Política.

PRINCIPIOS CLAVES DE LA POLÍTICA
1. Esta Política representa los estándares mínimos que la Empresa ha estipulado con respecto a la privacidad de los datos. Se alinea con (y en algunos casos excede) los requerimientos de las leyes y regulaciones vigentes. En algunos casos las leyes y regulaciones locales que se aplican a las actividades descritas en esta política pueden ser más restrictivas que esta política. Donde ese sea el caso, se respetarán las reglas más restrictivas.

2. Esta política se alinea a otras Políticas Globales con relación a la recopilación y uso de información.

3. AstraZeneca valora la Información Personal que se nos encomienda y está comprometida con la recopilación, uso, conservación y divulgación de Información Personal de manera justa, transparente y segura.

• Recopilar información: Sólo debemos recoger Información Personal por medios justos, legales y transparentes. Debemos ser abiertos con los individuos sobre cómo utilizamos su Información Personal, con quienes la compartimos y dónde puede ser enviada.

• Minimizar información: Sólo debemos recoger la cantidad mínima necesaria de Información Personal para apoyar nuestras actividades comerciales y no debemos poner a disposición de terceros Información Personal (incluyendo el personal interno) que no están autorizados, o no tengan una necesidad comercial de conocer la información.

• Usar información: Sólo debemos utilizar Información Personal cuando tengamos una necesidad comercial legítima y, cuando sea requerido por la Ley, cuando tengamos el consentimiento individual. Debemos considerar los riesgos de privacidad antes de recoger, utilizar, conservar o divulgar Información Personal, como en un sistema nuevo o como parte de un proyecto.

• Exactitud: Debemos intentar conservar la Información Personal exacta y actualizada.

• Seguridad: Debemos proteger toda Información Personal recogida, utilizada, conservada y divulgada para apoyar nuestras actividades comerciales controlando el uso relevante, políticas, estándares y procesos técnicos y organizativos.

• Acceso y corrección: Debemos ser receptivos a preguntas o solicitudes realizadas por los individuos en conexión con su Información Personal y cuando sea requerido por ley, debemos brindar a los individuos la capacidad de acceder, corregir y eliminar su Información Personal.

• Conservación: Sólo debemos conservar la Información Personal en tanto sea necesario apoyar una actividad específica o requisito regulatorio o legal de acuerdo con el Programa Global de Conservación y Eliminación (GRAD, por su sigla en inglés).

• Transferencias internacionales de datos personales: Debemos garantizar que cualquier transferencia de Información Personal fuera del grupo de empresas de AstraZeneca proporcione adecuada protección de la Información Personal.

• Terceros: Debemos garantizar que el acceso a y la transferencia de Información Personal a terceros sea realizada por motivos legalmente justificables y con las protecciones contractuales adecuadas. Las actividades de diligencia debida deben controlar que el tercero tenga las prácticas de privacidad adecuadas en vigencia antes de formalizar cualquier compromiso.

• Actividades de marketing y promocionales: Cuando enviamos comunicaciones de marketing a los consumidores debemos observar cualquier ley relevante que requiera el consentimiento de estos consumidores.

RECOGER Y MINIMIZAR LA INFORMACIÓN
4. La Información Personal sólo debe ser recogida por medios justos y legales y de manera transparente. Se recogerá únicamente la cantidad mínima de Información Personal para respaldar una actividad comercial de AstraZeneca.

5. Cuando sea legalmente requerido, debemos garantizar que se proporcione a los individuos un “aviso de privacidad”, con relación al procesamiento de su Información Personal. Los avisos de privacidad deben proporcionar:
• La identidad del Socio de AstraZeneca que recoge la información;
• Los usos que ser harán de la Información Personal;
• Si la información se compartirá o divulgará a terceros o a Socios de AstraZeneca;
• Si la información se enviará fuera de su país de origen;
• Si se requiriera legalmente, cómo los individuos pueden ejercer sus derechos de acceso, corrección o eliminación de su Información Personal.

6.En algunos países podemos tener que notificar u obtener la pre-aprobación del regulador de privacidad local antes de recoger y utilizar cualquier Información Personal.

7. La Información Personal no debe ponerse a disposición de cualquier persona, incluyendo individuos en otras funciones comerciales dentro de AstraZeneca, que no estén autorizados a tener la información o no tengan motivos comerciales para acceder a ésta.

USO DE LA INFORMACIÓN

8. AstraZeneca debe tener un motivo comercial legítimo para utilizar Información Personal como parte de nuestras actividades comerciales.

9. Cuando sea requerido por ley, AstraZeneca puede necesitar obtener el consentimiento de los individuos para recoger, usar, conservar y divulgar su Información Personal. En especial, muchos países requieren consentimiento antes de recoger y/o utilizar cualquier Información Personal Sensible. La Información Personal Sensible puede incluir información sobre una persona relacionada con:
• Raza u origen étnico;
• Opiniones políticas;
• Creencias religiosas o similares;
• Pertenencia a un gremio comercial;
• Salud o cuadro físico o mental;
• Vida sexual;
• Comisión (o supuesta comisión) de cualquier delito, o procedimientos en relación con un delito.

10. También hay una cantidad de categorías adicionales de Información Personal que son generalmente consideradas sensibles, incluyendo información financiera como cuenta bancaria o detalles de tarjeta de crédito, así como información de identificación oficial como el pasaporte o los números de la seguridad social.

11. AstraZeneca sólo procesará Información Personal (incluyendo Información Personal Sensible), en la manera descrita en nuestros avisos de privacidad y de acuerdo con cualquier consentimiento que hayamos obtenido del individuo.

12. Cuando deseamos utilizar la Información Personal para un nuevo propósito que no haya sido notificado al individuo puede ser necesario notificar al individuo este nuevo propósito, y en algunos casos, obtener su consentimiento.

PRECISIÓN
13. La Información Personal debe conservarse de forma exacta y actualizada durante cualquier proceso (es decir, transferencia, almacenamiento y recuperación de datos) para cumplir con los fines para los cuales debe ser utilizada.

SEGURIDAD
14. Se deben poner salvaguardas para proteger la Información Personal de una diversidad de amenazas, incluyendo:
• Pérdida o robo;
• Acceso no autorizado, uso o divulgación;
• Copiado, modificación o alteración impropia;
• Retención o destrucción impropia;
• Pérdida de integridad.

15. Los empleados deben tomar las medidas adecuadas para evitar el mal uso o pérdida de Información Personal y evitar el acceso no autorizado a ella, e informar cualquier instancia conocida o sospecha de mal uso, pérdida o acceso no autorizado a su superior director y su representante de privacidad local.

ACCESO Y CORRECCIÓN
16. Cuando se requiera por Ley, AstraZeneca debe responder a las solicitudes de individuos de divulgar información relacionada con la Información Personal que tenemos sobre ellos. Esto puede incluir proporcionar acceso a la Información Personal del individuo. Cuando esté legalmente permitido, AstraZeneca puede:
• Cobrar un honorario para garantizar el acceso;
• Rechazar una solicitud (por ejemplo cuando un individuo hace la misma solicitud en diversas ocasiones uno detrás de otro);
• Implantar cualquier excepción descrita en la ley para retener Información Personal.

17. Los individuos pueden verificar y cuestionar la exactitud e integridad de la Información Personal sobre su persona y hacerla corregir o eliminar si lo consideran adecuado.

18. Si AstraZeneca no está de acuerdo con que la información es incorrecta o deba eliminarse, se registrará que el individuo considera la información incorrecta o desea que se elimine.

RETENCIÓN
19. La Información Personal debe ser:
• Conservada sólo mientras sea necesario para cumplir o apoyar una actividad comercial o cumplir con un requisito legal o regulatorio;
• Conservada de acuerdo con el programa GRAD;
• Desechada de manera segura o destruida al final del período de retención especificado.

TERCEROS
20. Debemos asegurar que cualquier tercero o proveedor que tenga acceso a la Información Personal de AstraZeneca:
• Se somete a un proceso de diligencia debida que evalúa su riesgo de privacidad;
• Celebra un contrato por escrito con AstraZeneca que contiene las cláusulas de privacidad que se estimen adecuadas de acuerdo con la evaluación anterior.

TRANSFERENCIAS INTERNACIONALES
21. No debemos realizar transferencias internacionales de Información Personal fuera de las empresas del grupo de AstraZeneca sin garantizar la adecuada protección para aquellos datos. Cuando se requiera por Ley podemos necesitar el consentimiento de los individuos para transferir Información Personal sobre su persona al exterior, y en algunos casos notificar y / o obtener aprobación previa por parte del regulador de privacidad local antes de que se realice la transferencia.

ACTIVIDADES DE MARKETING Y DE PROMOCIÓN
22. En algunos mercados, AstraZeneca envía comunicaciones de marketing directamente a los pacientes/al público vía correo electrónico, correo directo, teléfono y mensajes de texto de SMS. En la mayoría de los mercados también enviamos contenido promocional a los Profesionales de la Salud vía algunos o todos estos canales. Cuando se requiera legalmente, debemos garantizar que dichas comunicaciones son sólo enviadas con el previo consentimiento del individuo (o equivalente aceptar [“opt-in”] o rechazar [“opt-out”]). Debe incluirse también un mecanismo de rechazo en cada comunicación (por ej., una función de cancelación de subscripción en un correo electrónico), o bien esta opción debe estar inmediatamente disponible para el individuo.

23. Cuando un individuo se da de baja para la recepción de comunicaciones debemos gestionar su solicitud diligentemente y garantizar que conservamos una lista de individuos que han optado por no recibir las comunicaciones de AstraZeneca.