Introducción

GE HealthCare respeta los derechos de privacidad de las personas y se compromete a tratar la Información personal con responsabilidad, de acuerdo con la legislación aplicable, las obligaciones contractuales pertinentes y el Compromiso de GE HealthCare con la protección de la Información personal (el Compromiso), que se describe a continuación. El Compromiso establece los principios de GE HealthCare para el tratamiento de la Información personal por parte de GE HealthCare y en su nombre.

El Compromiso dispone una base jurídica para las transferencias transfronterizas de Información personal dentro del grupo GE HealthCare (todas las divisiones de propiedad total o mayoritaria de GE HealthCare Company). Además, GE HealthCare puede realizar transferencias transfronterizas de Información personal a terceros fuera del grupo GE HealthCare de acuerdo con la legislación aplicable. GE HealthCare gestionará la Información personal de conformidad con el Compromiso siempre que sea aplicable, a menos que entre en conflicto con requisitos más estrictos de la legislación local, en cuyo caso prevalecerá esta última.

Ámbito

El Compromiso ha sido concebido para garantizar que la Información personal se protegerá independientemente de su ubicación geográfica o de la tecnología empleada, cuando se utilice dentro del grupo GE HealthCare, y se aplica al tratamiento por parte de GE HealthCare de la Información personal de GE HealthCare y de la Información personal del cliente de GE HealthCare.

Tratamiento de la Información personal

GE HealthCare únicamente procesa la Información personal del cliente de GE HealthCare en nombre del Cliente y de acuerdo con sus instrucciones.

GE HealthCare observa los siguientes principios a la hora de tratar la Información personal y proporciona una cooperación y asistencia razonables al Cliente para facilitar el cumplimiento de dichos principios. Cuando lo exija la legislación aplicable, esto incluye ayudar al Cliente en relación con las evaluaciones del impacto en la privacidad, las consultas necesarias a las autoridades de protección de datos pertinentes y la implementación de las medidas de cumplimiento, como la privacidad, por diseño y por defecto:

Equidad: GE HealthCare procesará la Información personal de forma justa y legal.

Objetivo: GE HealthCare limitará el procesamiento de la Información personal al cumplimiento de los fines legítimos y específicos de GE HealthCare. GE HealthCare solo llevará a cabo un procesamiento que sea compatible con dichos fines, a menos que GE HealthCare tenga el consentimiento inequívoco de la persona o la confirmación del Cliente correspondiente de que dicho consentimiento se ha obtenido, cuando sea necesario.

En general, GE HealthCare procesará la Información personal:

• • cuando GE HealthCare tenga un interés legítimo que, en conjunto, justifique el tratamiento;
• • cuando sea necesario para el mantenimiento o la realización de una relación legal entre GE HealthCare y el individuo;
• • cuando sea necesario para cumplir con una obligación impuesta a GE HealthCare por la ley, normativa o autoridad gubernamental aplicable;
• • cuando haya situaciones excepcionales que amenacen la vida, la salud o la seguridad del individuo o de otra persona;
• • después de obtener el consentimiento libre, explícito e informado de la persona, cuando lo requiera la ley aplicable; o
• • cuando el tratamiento esté relacionado con un Contrato de servicio al cliente.

Cuando GE HealthCare haya obtenido el consentimiento directamente, GE HealthCare pondrá a disposición un proceso para permitir a las personas retirar su consentimiento en la medida en que lo requiera la legislación aplicable, en cualquier momento y sin coste alguno.

Proporcionalidad: GE HealthCare limitará el tratamiento de la Información personal a lo que sea adecuado, pertinente y preciso en relación con los fines para los que GE HealthCare la recopila y utiliza.

Calidad de la información: GE HealthCare adoptará las medidas razonables para ofrecer al Cliente un medio para garantizar que la Información personal es precisa y que se mantiene actualizada, para mantener la Información personal solo durante el periodo de tiempo necesario para los fines para los que se recopila y utiliza, y para eliminarla o convertirla en anónima una vez que se hayan cumplido dichos requisitos de retención.

Tras una solicitud válida del Cliente y cuando sea razonablemente posible hacerlo, GE HealthCare:

• • llevará a cabo las medidas para rectificar, actualizar, anonimizar o eliminar (según corresponda) la Información personal del Cliente de GE HealthCare o las proporcionará al Cliente; y
• • notificará este hecho a cada entidad de GE o a los terceros a los que se haya revelado la Información personal del cliente de GE HealthCare.

Transparencia: Cuando lo exija la legislación aplicable, GE HealthCare pondrá a disposición de los individuos en el momento de la recopilación, o en un plazo razonable tras la recopilación, información sobre la identidad de GE HealthCare; los fines y la base jurídica del tratamiento de su Información personal; las transferencias transfronterizas de datos y los destinatarios previstos; las fuentes de Información personal; cómo pueden ejercer las personas sus derechos con respecto a la Información personal; los datos de contacto del Responsable de protección de datos, si procede; y las explicaciones adicionales pertinentes para garantizar un tratamiento justo. Cuando GE HealthCare recopile Información personal a través de Internet u otros medios electrónicos, GE HealthCare publicará un aviso de privacidad de fácil acceso que cumpla estos requisitos de transparencia.

Confidencialidad: GE HealthCare mantendrá la confidencialidad de la Información personal que procesa, excepto cuando la divulgación sea necesaria por un requisito operativo o legal aplicable. Esta obligación continuará incluso después de que haya finalizado la relación con el Cliente. GE HealthCare requiere que todos los miembros del grupo GE HealthCare que tratan la Información personal del cliente de GE HealthCare y sus empleados cumplan con las instrucciones del Cliente relativas al tratamiento de la Información personal del cliente de GE HealthCare.

Seguridad: GE HealthCare se esfuerza por proteger la Información personal con medidas técnicas y organizativas adecuadas para garantizar su integridad, confidencialidad, seguridad y disponibilidad, y requiere que todos los miembros del grupo GE HealthCare que tratan la Información personal del cliente de GE HealthCare y sus empleados cumplan con las medidas de seguridad y confidencialidad establecidas en el contrato de servicio con el Cliente. GE HealthCare brindará una asistencia razonable al Cliente de GE HealthCare con el propósito de garantizar la seguridad de su tratamiento e informará al Cliente de GE HealthCare de una infracción de la seguridad de la Información personal del Cliente de GE HealthCare, según lo requiera dicha legislación.

Duración: Al finalizar el contrato de servicio con el Cliente, a menos que se acuerde lo contrario con el Cliente o la ley aplicable le impida hacerlo, GE HealthCare devolverá o destruirá (y, en caso de destrucción, certificará al Cliente que lo ha hecho) toda la Información personal del cliente de GE HealthCare y todas las copias de la misma.

Intercambio y/o transferencia de Información personal

GE HealthCare puede compartir o transferir información personal en las siguientes circunstancias:

• • La Información personal puede compartirse dentro del grupo GE HealthCare para los fines especificados anteriormente, siempre que la entidad del grupo GE HealthCare que trate la Información personal cumpla este Compromiso.
• • GE HealthCare puede proporcionar Información personal a prestadores o proveedores de servicios seleccionados contratados para realizar determinados tratamientos u otros servicios en su nombre. GE HealthCare se esforzará por garantizar que los nuevos contratos con proveedores dispongan el tratamiento de la Información personal de forma coherente con este Compromiso y con la legislación aplicable mediante una relación legal establecida con un contrato u otros medios legalmente permitidos que impongan obligaciones equivalentes al proveedor en relación con aquellas que se aplican a GE HealthCare en virtud del contrato de servicio con el Cliente. Según estos contratos, los proveedores deben implementar medidas de seguridad adecuadas y solo pueden tratar la Información personal de acuerdo con las instrucciones de GE HealthCare.
• • GE HealthCare puede revelar cierta Información personal a terceros, incluidas las autoridades policiales, cuando así lo requiera la ley, para proteger los derechos legales de GE HealthCare, o en relación con cualquier fusión o adquisición de GE HealthCare o la insolvencia o reorganización de cualquier parte de GE HealthCare. GE HealthCare puede llevar a cabo transferencias transfronterizas de Información personal dentro del Grupo GE HealthCare siempre que los miembros del Grupo receptor cumplan con las partes pertinentes de este Compromiso. GE HealthCare también puede llevar a cabo transferencias transfronterizas fuera del grupo GE HealthCare cuando el destinatario pueda ofrecer el nivel mínimo de protección previsto en este Compromiso, basándose en una justificación adecuada según la legislación aplicable, o el país al que se transmite dicha información ofrezca el nivel de protección dispuestos por las decisiones de adecuación de la Comisión de la UE. Como parte del compromiso de GE HealthCare con la responsabilidad, GE HealthCare estará listo para demostrar que una transferencia transfronteriza cumple con las protecciones dispuestas en este Compromiso, en particular cuando así lo requiera una autoridad supervisora competente.
• • Al llevar a cabo transferencias transfronterizas, las empresas de GE HealthCare y las entidades de GE HealthCare no tienen motivos para creer que las leyes y prácticas del tercer país de destino aplicables al tratamiento de la Información personal por parte del importador de datos impiden que el importador de datos cumpla sus obligaciones en virtud de este Compromiso y tienen debida cuenta de las circunstancias específicas de la transferencia transfronteriza, las leyes y las prácticas del tercer país de destino, las garantías contractuales, técnicas u organizativas pertinentes establecidas para complementar las garantías en virtud de este Compromiso.

Tratamiento de Información personal confidencial

Cuando GE HealthCare procese y/o transfiera Información personal confidencial, lo hará según las instrucciones del Cliente y aplicará las medidas de seguridad adecuadas según lo requiera la legislación aplicable. Se proporcionarán las medidas de seguridad adecuadas en función de la naturaleza de esta información y de los riesgos asociados a sus usos previstos.

Responsabilidad

GE HealthCare es responsable de cumplir los requisitos establecidos en el Compromiso y en la legislación aplicable. En concreto, GE HealthCare:

• • adoptará las medidas necesarias para cumplir los requisitos del Compromiso y la ley aplicable; y
• • dispondrá los mecanismos internos necesarios para demostrar dicha observancia, incluido el mantenimiento de un registro de sus actividades de tratamiento de conformidad con la legislación aplicable.

Programa de privacidad

GE HealthCare emplea prácticas de privacidad diseñadas para respaldar el cumplimiento del Compromiso y la legislación aplicable, incluido el nombramiento de una red de líderes en privacidad, programas de educación y concienciación, protocolos de respuesta ante incidentes, evaluaciones del impacto en la privacidad, rutinas de auditoría, y un enfoque de Privacidad por diseño y Privacidad por defecto para el desarrollo de procesos y sistemas.

Derechos individuales

De acuerdo con la legislación aplicable, una persona que haya establecido satisfactoriamente su identidad con GE HealthCare o con el Cliente puede ejercer los siguientes derechos en relación con la Información personal que GE haya recopilado directamente de él; GE HealthCare ayudará al Cliente a cumplir sus obligaciones de privacidad con las personas:

Acceso: Cuando lo exija la legislación aplicable, tras una solicitud de un individuo y siguiendo las instrucciones del Cliente, GE HealthCare proporcionará la Información personal sobre él o ella que GE HealthCare posea, incluida la información relativa a la fuente de la Información personal, los fines de cualquier tratamiento por parte de GE HealthCare y los destinatarios, o las categorías de destinatarios a los que se divulga dicha Información personal.

Corrección y eliminación: Según las instrucciones del Cliente, se respetarán las solicitudes válidas de corrección o eliminación de Información personal que sea incompleta, inexacta o excesiva, y que se haya confirmado como tal, a excepción de la no eliminación cuando la relación contractual entre GE HealthCare y el Cliente requiera su retención, en el contexto de una disputa legal u otro requisito de retención legal, o según lo requiera la legislación aplicable.

Objeción: Según las instrucciones del Cliente, GE HealthCare dejará de tratar la Información personal cuando la objeción de una persona esté justificada por la legislación aplicable, por ejemplo, cuando la vida o la salud de la persona estén en riesgo debido al tratamiento. Una persona también tiene derecho a oponerse a decisiones basadas únicamente en el tratamiento automatizado de la Información personal que tengan efectos legales que afecten significativamente a la persona implicada, excepto cuando la persona haya solicitado el tratamiento o cuando sea necesario para la relación contractual entre GE y el Cliente. En este último caso, la persona puede dar su opinión sobre la decisión automatizada. Una persona tiene derecho a oponerse al tratamiento de la Información personal por parte de GE HealthCare con fines de marketing cuando lo permita la legislación aplicable. El ejercicio de este derecho de oposición puede suplantarse cuando GE HealthCare y/o el Cliente puedan demostrar que su interés legítimo y convincente en continuar con el tratamiento anula los intereses o derechos y libertades fundamentales de la persona.

Restricción: Una persona también tiene derecho a solicitar la restricción de cualquier tratamiento de su Información personal de GE HealthCare por parte de GE HealthCare, en la medida en que dicho derecho esté previsto por la legislación aplicable, por ejemplo, cuando se cuestione la exactitud de la Información personal de GE. Siguiendo las instrucciones del Cliente, GE HealthCare dejará de tratar dicha información cuando la restricción esté justificada, con la excepción del almacenamiento y otro tratamiento continuado permitido conforme a la legislación aplicable.

Reclamaciones: Cualquier persona que alegue haber sufrido daños como resultado del incumplimiento del Compromiso por parte de una entidad del Grupo GE HealthCare puede presentar una reclamación al Responsable de privacidad o al Responsable de cumplimiento del Grupo GE HealthCare correspondiente, o mediante los procesos de gestión de reclamaciones de GE HealthCare disponibles en los sitios web de GE HealthCare si otros canales no están disponibles o se han agotado:

• •  Notificación de cuestiones internas: https://gehc-privacy-portal.cloud.health.ge.com/wordpress/
• •  Notificación de cuestiones externas: privacy.GEHC@ge.com.

GE HealthCare solo estará obligado a gestionar la reclamación si el Cliente se ha declarado insolvente, ha desaparecido de facto o ha dejado de existir por ley y solo cuando las obligaciones legales del Cliente no hayan sido asumidas por una entidad sucesora.

Si el Cliente considera que la queja está justificada, GE HealthCare ayudará al Cliente y tomará las medidas razonables para resolver la reclamación hasta lograr la satisfacción razonable de la persona. GE HealthCare se compromete a ayudar al Cliente a la hora de responder a las reclamaciones en un plazo de treinta días a partir de su recepción. Una persona con una reclamación sin resolver en relación con el cumplimiento del compromiso de GE HealthCare dentro de los países regulados por las normas de privacidad transfronterizas de APEC puede ponerse en contacto con un proveedor externo de resolución de disputas con sede en EE. UU. de GE HealthCare (de forma gratuita).

Aplicación: Una persona que haya sufrido daños como resultado de un incumplimiento del Compromiso puede tener derecho a recibir una compensación por dichos daños de conformidad con la legislación aplicable y según lo dispuesto en el Compromiso. Una persona con derecho a recibir una indemnización puede hacer valer sus derechos, tal como se establece en el Compromiso, recurriendo directamente a los tribunales u otra autoridad judicial de conformidad con la legislación aplicable.

Cooperación con las Autoridades de supervisión

GE HealthCare cooperará con cualquier autoridad supervisora nacional o regional competente responsable de supervisar la legislación de privacidad aplicable que tenga motivos para cuestionar cualquier tratamiento de la Información personal por parte de GE HealthCare, y cumplirá con las decisiones de dicha autoridad supervisora competente en relación con cualquier asunto relacionado con el Compromiso.

GE HealthCare notificará al Cliente cualquier solicitud legalmente vinculante que reciba de una autoridad policial para la divulgación de la Información personal del cliente de GE HealthCare, a menos que la ley aplicable lo prohíba de otro modo, como una prohibición de la ley penal para preservar la confidencialidad de una investigación policial.

Cambios en el Compromiso

GE HealthCare se reserva el derecho a modificar el Compromiso. Cualquier cambio material se enviará a la Autoridad principal de protección de datos de GE HealthCare y/o a su agente de marca de confianza, cuando corresponda, y se notificará en el sitio web de GE HealthCare.

Cuando cualquier cambio propuesto en el Compromiso tenga un efecto sustancialmente perjudicial en las condiciones del tratamiento de la Información personal del cliente de GE HealthCare, GE HealthCare notificará al Cliente de dicho cambio propuesto, y el Cliente puede oponerse al cambio propuesto a efectos de un acuerdo de servicio existente o bien rescindir el acuerdo de servicio pertinente.

Definiciones

Información personal es cualquier información relacionada con una persona física identificada o identificable.

Información personal de GE HealthCare es cualquier Información personal que se obtenga en el contexto de la relación de una persona con GE HealthCare y que GE HealthCare trata en nombre del Cliente. Dicha Información personal de GE HealthCare puede incluir, por ejemplo, datos de clientes obtenidos en el contexto de una relación de cliente con GE HealthCare.

Información personal del cliente de GE HealthCare es cualquier Información personal que se obtiene en el contexto de la prestación de servicios por parte de GE HealthCare a un Cliente en virtud de un contrato de servicio y que GE HealthCare trata en nombre del Cliente.

Cliente es una persona o entidad que celebra un acuerdo de servicio con GE HealthCare.

Información personal confidencial, una categoría especial de Información personal, es información sobre el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos, salud, vida sexual u orientación sexual.