Política de Privacidade Interna da CRIO

Versão v3.0

Data de entrada em vigor: 14 de setembro de 2023

1. Objetivo

A presente Política de Privacidade descreve a forma como a CRIO cumpre os requisitos regulamentares relativos a Informações de Identificação Pessoal, Informações de Saúde Protegidas, Privacidade do Paciente, o Regulamento Geral sobre a Proteção de Dados da UE (RGPD), a Lei de Portabilidade e Responsabilidade dos Seguros de Saúde (HIPAA), a Lei de Proteção ao Consumidor da Califórnia (CCPA), o Quadro de Privacidade de Dados UE-EUA (EU-U.S. DPF), a Extensão do Reino Unido ao EU-U.S. DPF, o Quadro de Proteção de Dados Suíça-EUA e outras leis e regulamentos de privacidade aplicáveis.

2. Âmbito

A presente Política de Privacidade descreve a forma como a CRIO recolhe, utiliza, divulga e trata os dados pessoais no âmbito dos nossos sítios Web, aplicações e outros serviços, e explica os direitos e as opções disponíveis para os utilizadores no que diz respeito aos seus dados.

3. Dados recolhidos pela CRIO

A CRIO é uma empresa que fornece software e serviços a empresas do setor das ciências da vida para a realização de ensaios clínicos em todo o mundo. Na qualidade de agente externo dos nossos clientes, a CRIO recebe e trata Dados Pessoais (por exemplo, nome, e-mail, número de telefone) provenientes de patrocinadores de estudos, centros de investigação e diversos consultores/subcontratados.

No âmbito dos produtos e serviços que prestamos, a CRIO trata dados pessoais e informações de saúde protegidas (incluindo informações detalhadas sobre o estado de saúde, avaliações médicas e resultados de exames).

A CRIO pretende que as suas políticas de privacidade corporativas, procedimentos operacionais padrão (SOP) internos e práticas de trabalho sejam adequados para garantir o cumprimento das leis e regulamentos internacionais aplicáveis, incluindo o Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia, a Lei de Portabilidade e Responsabilidade dos Seguros de Saúde (HIPAA) e a Lei de Proteção ao Consumidor da Califórnia (CCPA), o Acordo de Proteção de Dados UE-EUA (DPF), a Extensão do Reino Unido ao Acordo de Proteção de Dados UE-EUA (DPF) e o Acordo de Proteção de Dados Suíça-EUA (DPF). Acordos contratuais detalhados, SOPs e políticas empresariais regem todo o trabalho com dados de clientes e estão disponíveis para auditoria/revisão por parte dos clientes e das autoridades reguladoras.

4. Definição de termos

A terminologia e as siglas da CRIO podem ser consultadas no repositório interno de documentos da CRIO.

5. Resolução de litígios

Em conformidade com o Quadro de Proteção de Dados UE-EUA (DPF), a Extensão do Reino Unido ao DPF UE-EUA e o DPF Suíça-EUA, a CRIO compromete-se a resolver reclamações relacionadas com os Princípios do DPF sobre a nossa recolha e utilização das suas informações pessoais. Os cidadãos da UE, do Reino Unido e da Suíça com questões ou reclamações relativas ao nosso tratamento de dados pessoais recebidos ao abrigo do DPF UE-EUA, da Extensão do Reino Unido ao DPF UE-EUA e do DPF Suíça-EUA devem contactar primeiro a CRIO atravésdo endereço [email protected]ou do endereço postal abaixo:

CRIO, Inc
- Responsável pela Proteção de Dados -
68 Harrison Avenue, n.º 605, PMB 32876
Boston, MA 02111

5.1 Resolução Alternativa de Litígios

Em conformidade com o DPF UE-EUA, a Extensão do Reino Unido ao DPF UE-EUA e o DPF Suíça-EUA, a CRIO compromete-se a encaminhar as reclamações não resolvidas relativas ao nosso tratamento de dados pessoais recebidos ao abrigo do DPF UE-EUA, da Extensão do Reino Unido ao DPF UE-EUA e do DPF Suíça-EUA para a JAMS, um prestador de serviços de resolução alternativa de litígios com sede nos Estados Unidos, na União Europeia, no Reino Unido e na Suíça. Se não receber uma confirmação atempada da nossa parte relativamente à sua reclamação relacionada com os Princípios do DPF, ou se não tivermos resolvido a sua reclamação relacionada com os Princípios do DPF de forma satisfatória, visitehttps://www.jamsadr.com/eu-us-data-privacy-frameworkpara obter mais informações ou para apresentar uma reclamação. Os serviços da JAMS são prestados sem qualquer custo para si.

6. Regulamento Geral sobre a Proteção de Dados (RGPD)

O Regulamento Geral sobre a Proteção de Dados (RGPD) substituiu a Diretiva 95/46/CE relativa à proteção de dados, com entrada em vigor a 25 de maio de 2018. Este regulamento é diretamente aplicável a todos os Estados-Membros da União Europeia e abrange os responsáveis pelo tratamento e os subcontratantes, tanto dentro como fora da UE, que recolhem dados relativos a titulares de dados da UE.

A CRIO avaliou as suas medidas de segurança técnicas e processuais para garantir a conformidade com o RGPD, as quais são descritas abaixo.

6.1 Definições do RGPD

Para efeitos do presente regulamento, aplicam-se as seguintes definições:

«Dados pessoais»:qualquer informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); considera-se pessoa singular identificável aquela que pode ser identificada, direta ou indiretamente, nomeadamente por referência a um identificador, como um nome, um número de identificação, dados de localização, um identificador online ou a um ou mais fatores específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;

«Tratamento»significa qualquer operação ou conjunto de operações efetuadas sobre dados pessoais ou conjuntos de dados pessoais, por meios automatizados ou não, tais como a recolha, o registo, a organização, a estruturação, o armazenamento, a adaptação ou a alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou a combinação, a limitação, o apagamento ou a destruição;

Por «responsável pelo tratamento»entende-se a pessoa singular ou coletiva, a autoridade pública, o organismo ou outra entidade que, individualmente ou em conjunto com outros, determina as finalidades e os meios do tratamento de dados pessoais.

«subcontratante»: uma pessoa singular ou coletiva, uma autoridade pública, uma agência ou outro organismo que trata dados pessoais por conta do responsável pelo tratamento;

Por «terceiros»entende-se uma pessoa singular ou coletiva, uma autoridade pública, uma agência ou um organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante nem as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estejam autorizadas a tratar dados pessoais.

6.2 Normas de notificação

Nos termos do RGPD, os responsáveis pelo tratamento de dados são obrigados a notificar a autoridade de controlo sobre uma «violação de dados pessoais» «sem demora injustificada e, sempre que possível, o mais tardar 72 horas após terem tomado conhecimento da mesma». Na qualidade de subcontratante em nome do responsável pelo tratamento de dados (conforme definido numa relação contratual específica), a CRIO compromete-se a cumprir a norma de notificação, seguindo o processo descrito noSOP-QMS-002 «Gestão de Incidentes de Qualidade».

6.3 Responsável pela Proteção de Dados

A CRIO nomeou um Encarregado da Proteção de Dados que supervisiona o cumprimento do RGPD por parte da organização, incluindo a gestão das atividades internas de proteção de dados, a formação do pessoal e a realização de revisões periódicas do programa de RGPD da organização.

Esta pessoa também atua como principal ponto de contacto para as interações com as autoridades reguladoras no que diz respeito a questões relacionadas com o tratamento de dados pessoais. Além disso, esta pessoa é responsável por garantir os direitos dos titulares dos dados no que se refere às práticas de proteção de dados da CRIO, à revogação do consentimento, ao direito ao esquecimento e ao cumprimento dos direitos conexos. Esta pessoa opera de forma independente das outras unidades de negócio e reporta à direção da CRIO.

6.4 Consentimento

De acordo com o RGPD, o consentimento deve ser «livre, específico e inequívoco», expresso através de «uma declaração ou de um ato afirmativo claro». A CRIO recomenda que os centros de investigação, os patrocinadores e as organizações de investigação por contrato (CRO) solicitem o consentimento do titular dos dados, informando-o das atividades de tratamento de dados antes da recolha dos mesmos.

No mínimo, inclua o seguinte para descrever o tratamento dos dados pela CRIO:

  • Descrição da forma como o CRIO irá recolher os dados – através da aplicação CRIO disponível na Internet.
  • Descrição do local onde o CRIO irá armazenar os dados recolhidos através da sua aplicação.
  • Descrição do período durante o qual a CRIO irá conservar e armazenar os dados.

6.5 Direitos dos titulares dos dados

A CRIO aborda os direitos dos titulares de dados, incluindo o direito de acesso, retificação e apagamento, a restrição do tratamento, a portabilidade dos dados e o direito de oposição, através de processos e procedimentos desenvolvidos internamente e detalhados naSOP-QMS-007 «Pedidos dos Titulares de Dados».

Os direitos, sujeitos à legislação local, tal como descritos noSOP-QMS-007 «Pedidos dos titulares dos dados», incluem:

  • Acesso às informações pessoais;
  • Rectificação das informações que a CRIO detém sobre os titulares dos dados;
  • Apagamento dos dados pessoais dos titulares dos dados;
  • Restrição da utilização, por parte da CRIO, dos dados pessoais de um titular de dados;
  • O direito de se opor à utilização de dados pessoais pela CRIO;
  • O direito de receber Informações Pessoais num formato eletrónico utilizável e de as transmitir a terceiros (direito à portabilidade dos dados); e
  • O direito de apresentar uma reclamação junto da autoridade local de proteção de dados, caso exista no país do titular dos dados.

A CRIO incentiva os titulares dos dados a contactarem-nos para atualizar ou corrigir os seus dados pessoais, caso estes se alterem ou caso os dados pessoais na posse da CRIO estejam incorretos. É provável que sejam necessárias informações adicionais para dar resposta ao pedido.

É possível que o titular dos dados continue a receber comunicações durante um curto período de tempo após um pedido de eliminação de dados, enquanto a CRIO atualiza as suas listas. Os registos do titular dos dados serão então eliminados definitivamente dos sistemas da CRIO.

Os titulares dos dados podem exercer os seus direitos contactando a CRIO através do endereço de e-mail[email protected]ou do endereço postal abaixo:

CRIO, Inc
- Responsável pela Proteção de Dados -
68 Harrison Avenue, n.º 605, PMB 32876
Boston, MA 02111

O nosso representante na UE é a Data Protection Representative Limited (que opera sob a denominação «DPR Group»), uma empresa registada na República da Irlanda com o número de registo 616588, cuja sede social se situa em 1-2 Marino Mart, Fairview, Dublin 3, Irlanda.

O nosso representante na Suíça é a DataRep, situada no seguinte endereço:

Leutschenbachstrasse 95
, Zurique, 8050, Suíça

O nosso representante no Reino Unido é a DataRep, situada no seguinte endereço:

107-111 Fleet Street,
, Londres, EC4A 2AB,
, Reino Unido

6.6 Decisão sobre a adequação

As decisões de adequação permitem o fluxo de dados da UE (e da Noruega, do Liechtenstein e da Islândia) para um país terceiro sem que sejam necessárias quaisquer salvaguardas adicionais. Por outras palavras, as transferências para o país em questão serão equiparadas às transmissões de dados no interior da UE.

6.7 Avaliação do Impacto na Proteção de Dados e Cláusulas Contratuais Típicas (SCC)

Na qualidade de subcontratante, a CRIO atua em nome do responsável pelo tratamento. Ao selecionar um subcontratante, os responsáveis pelo tratamento devem recorrer apenas a subcontratantes que ofereçam garantias suficientes quanto à sua capacidade de implementar as medidas técnicas e organizacionais necessárias para cumprir os requisitos do RGPD. A CRIO mantém uma avaliação de impacto relativa à proteção de dados da sua plataforma, que pode ser disponibilizada ao responsável pelo tratamento para demonstrar a sua conformidade com o RGPD.

Além disso, determinadas disposições contratuais relativas às tarefas e responsabilidades do subcontratante, bem como as cláusulas contratuais-tipo, constituem igualmente mecanismos através dos quais o responsável pelo tratamento pode definir as condições do tratamento efetuado pelo subcontratante. Estas disposições incluem a forma e o momento em que os dados serão devolvidos ou apagados após o tratamento, bem como os pormenores do tratamento, tais como o objeto, a duração, a natureza, a finalidade, o tipo de dados e as categorias de titulares dos dados. O responsável pelo tratamento e o subcontratante podem também optar por utilizar cláusulas contratuais-tipo como base jurídica para transferências de dados para fora da UE, da Suíça e do Reino Unido (e de Gibraltar).

A CRIO seguirá as orientações do responsável pelo tratamento e cumprirá os requisitos de proteção de dados através de disposições contratuais, cláusulas contratuais-tipo ou outros mecanismos aceitáveis.

6.8 Terceiros

As informações pessoais dos titulares dos dados podem ser partilhadas com agentes, contratados ou parceiros da CRIO no âmbito dos serviços que esses indivíduos ou entidades prestam à CRIO ou em colaboração com a mesma. Esses agentes, contratados ou parceiros estão impedidos de utilizar essas informações para qualquer outro fim que não seja a prestação de serviços à CRIO ou no âmbito da colaboração em que estão envolvidos com a CRIO. A CRIO não cederá, venderá, alugará, emprestará ou divulgará de qualquer outra forma quaisquer Informações Pessoais a terceiros, a menos que tal seja permitido ou autorizado.

A CRIO reserva-se o direito de partilhar Informações Pessoais em resposta a pedidos de informação devidamente autorizados por parte de qualquer órgão de aplicação da lei, tribunal, entidade reguladora, autoridade governamental ou outro terceiro, sempre que consideremos que tal divulgação é necessária para cumprir uma obrigação legal ou regulamentar, ou para proteger os direitos da CRIO ou os direitos de qualquer terceiro.

Podemos também fornecer Informações Pessoais a terceiros no âmbito da venda, cessão ou outra forma de transferência da atividade deste Website a que as informações se referem; nesse caso, exigiremos que esses terceiros se comprometam a tratar as Informações Pessoais em conformidade com a nossa Política de Privacidade.

Também podemos partilhar informações agregadas e não pessoais sobre a utilização do site público da CRIO com terceiros não afiliados. Estas informações agregadas não contêm quaisquer dados pessoais identificáveis sobre os nossos utilizadores.

6.8.1 Subcontratantes responsáveis pelo tratamento de dados

Os subcontratantes da CRIO estão igualmente sujeitos aos mesmos requisitos previstos no RGPD e estão também vinculados a quaisquer contratos celebrados com o responsável pelo tratamento.

Os tipos de subcontratados a que se recorre incluem os seguintes:

  • Fornecedores de alojamento na nuvem
  • Software de terceiros que suporta as funcionalidades da nossa aplicação (incluindo integrações)
  • Empresas externas contratadas para apoiar o desenvolvimento e a manutenção dos nossos produtos e serviços.

6.8.2 Responsabilidade em casos de transferências posteriores

A CRIO é responsável pelo tratamento dos dados pessoais que recebe ao abrigo do Quadro de Proteção de Dados e que posteriormente transfere a um agente terceiro, podendo ser responsabilizada por transferências subsequentes que violem os Princípios do Quadro de Proteção de Dados.

6.9 Conformidade com o quadro regulamentar em matéria de privacidade de dados

A CRIO cumpre o Quadro de Proteção de Dados UE-EUA (EU-U.S. DPF), a Extensão do Reino Unido ao EU-U.S. DPF e o Quadro de Proteção de Dados Suíça-EUA (Swiss-U.S. DPF), tal como estabelecido pelo Departamento de Comércio dos EUA. A CRIO certificou ao Departamento de Comércio dos EUA que cumpre os Princípios do Quadro de Privacidade de Dados UE-EUA (Princípios do EU-U.S. DPF) no que diz respeito ao tratamento de dados pessoais recebidos da União Europeia ao abrigo do EU-U.S. DPF e do Reino Unido (e Gibraltar) ao abrigo da Extensão do Reino Unido ao EU-U.S. DPF. A CRIO certificou ao Departamento de Comércio dos EUA que cumpre os Princípios do Quadro de Privacidade de Dados Suíça-EUA (Princípios do DPF Suíça-EUA) no que diz respeito ao tratamento de dados pessoais recebidos da Suíça com base no DPF Suíça-EUA. Em caso de conflito entre os termos desta política de privacidade e os Princípios do DPF UE-EUA e/ou os Princípios do DPF Suíça-EUA, prevalecerão os Princípios. Para saber mais sobre o programa Data Privacy Framework (DPF) e para consultar a nossa certificação, visitehttps://www.dataprivacyframework.gov/.

6.9.1 Competência

A Comissão Federal do Comércio (FTC) tem jurisdição sobre o cumprimento, por parte da CRIO, do Quadro de Proteção de Dados UE-EUA (EU-U.S. DPF) e da Extensão do Reino Unido ao EU-U.S. DPF, bem como do Quadro de Proteção de Dados Suíça-EUA (Swiss-U.S. DPF). A CRIO está sujeita aos poderes de investigação e de aplicação da lei da FTC.

6.9.2 Arbitragem vinculativa

Ao obter a certificação ao abrigo do Acordo UE-EUA sobre Proteção de Dados (DPF), a CRIO fica obrigada a submeter as reclamações a arbitragem e a cumprir os termos estabelecidos no Anexo I dos princípios do DPF, desde que um indivíduo tenha invocado a arbitragem vinculativa mediante notificação à CRIO e seguindo os procedimentos e sujeito às condições estabelecidas no Anexo I dos princípios. Para mais informações, visite:https://www.dataprivacyframework.gov/s/article/ANNEX-I-introduction-dpf?tabset- 35584=2

6.10 Mecanismos da CRIO para a transferência de dados da UE, do Reino Unido e da Suíça para os EUA

6.10.1 Quadro de Proteção de Dados UE-EUA

A decisão de adequação relativa ao Quadro de Proteção de Dados UE-EUA, de 10 de julho de 2023, abrange as transferências de dados de qualquer entidade pública ou privada do EEE para empresas norte-americanas que participem no Quadro de Proteção de Dados UE-EUA. Ao comprometer-se com o Quadro de Proteção de Dados UE-EUA, a CRIO pode tirar partido da decisão de adequação da Comissão Europeia e utilizar o quadro como um mecanismo para transferir dados de forma segura e livre do EEE para os Estados Unidos.

6.10.2 Cláusulas contratuais-tipo

Sempre que solicitado pelo responsável pelo tratamento e quando aplicável, a CRIO subscreverá as Cláusulas Contratuais-Tipo, que são contratos aprovados pela Comissão Europeia entre exportadores de dados na UE e importadores de dados nos chamados «países terceiros», para transferir dados pessoais da UE para destinatários nesses países terceiros, em conformidade com o RGPD.

É importante referir que não é possível receber dados pessoais do Reino Unido e de Gibraltar com base na Extensão do Reino Unido ao Acordo de Proteção de Dados UE-EUA antes da data em que os regulamentos de adequação que implementam a ponte de dados para a Extensão do Reino Unido ao Acordo de Proteção de Dados UE-EUA entrem em vigor. Assim, a CRIO continua a recorrer às Cláusulas Contratuais Tipo (SCC) como mecanismo de transferência de dados do Reino Unido e de Gibraltar.

Além disso, não é possível receber dados pessoais da Suíça com base no Acordo de Proteção de Dados Suíça-EUA (DPF) até à data de entrada em vigor do reconhecimento da adequação do DPF Suíça-EUA pela Suíça. Assim, a CRIO continua a recorrer às Cláusulas Contratuais Tipo (SCC) como mecanismo de transferência de dados provenientes da Suíça.

6.11 De que forma é que a CRIO garante a conformidade com o RGPD, a Lei Federal Suíça sobre Proteção de Dados (FADP) e o RGPD do Reino Unido?

Ao manterem a conformidade com o Acordo de Proteção de Dados UE-EUA (DPF), os clientes da CRIO podem optar por utilizar o Acordo de Proteção de Dados UE-EUA como um mecanismo de transferência aceitável.

Além disso, o Adendo de Tratamento de Dados padrão da CRIO inclui as Cláusulas Contratuais Padrão (SCC) para quaisquer transferências de dados pessoais da UE, do Reino Unido e da Suíça para os EUA que ocorram no âmbito da prestação dos serviços da CRIO.

  • No caso dos clientes existentes cujos contratos atuais ainda não incluam o Acordo de Proteção de Dados (DPA) e as Cláusulas Contratuais Padrão (SCCs), a CRIO pode concordar em alterar o contrato para incorporar ambos.
  • Ao celebrar o seu Acordo de Tratamento de Dados (DPA) e as Cláusulas Contratuais Típicas (SCCs), a CRIO fica legalmente obrigada a cumprir os requisitos relevantes do RGPD que se aplicam à prestação dos seus serviços. Para tal, a CRIO mantém políticas e procedimentos internos robustos para garantir a segurança, a integridade e a privacidade dos dados.
  • Os dados recolhidos no CRIO numa determinada região são armazenados regionalmente (por exemplo, os dados do EEE, do Reino Unido e da Suíça são mantidos no centro de dados da UE).
  • Todos os dados são encriptados (AES de 256 bits) durante a transmissão para as bases de dados da CRIO e são mantidos de forma pseudonimizada nos sistemas da CRIO.

7. Lei de Privacidade do Consumidor da Califórnia (CCPA)

Na medida do aplicável, a CRIO cumpre a Lei de Privacidade do Consumidor da Califórnia. A Política de Privacidade para residentes na Califórnia pode ser consultada na secção «Segurança e Conformidade» do site corporativo da CRIO: https://clinicalresearch.io/about-crio/security-compliance/

8. Política de Privacidade do Site

Para os visitantes do site da CRIO (www.clinicalresearch.io), aplica-se a política de privacidade disponível emhttps://clinicalresearch.io/about-crio/privacy-policy/.

9. Política de Privacidade do Utilizador

Para os utilizadores da aplicação CRIO, aplica-se a política de privacidade da CRIO. A política de privacidade pode ser consultada na secção «Segurança e Conformidade» do site corporativo da CRIO:https://clinicalresearch.io/about-crio/security-compliance/

10. Responsabilidade dos funcionários

A segurança dos dados recolhidos pela CRIO, incluindo dados sensíveis de estudos clínicos, é da responsabilidade de todos os colaboradores da CRIO. É proibida a aquisição, o acesso, a utilização ou a divulgação não autorizados de dados pessoais (incluindo categorias especiais de dados pessoais) e de Informações de Saúde Protegidas (PHI) sob qualquer forma (verbal, em papel ou eletrónica), de uma forma não permitida pelos acordos contratuais ou pelas políticas ou procedimentos da CRIO, que comprometam a segurança ou a privacidade dos dados pessoais e das PHI.

A violação da presente Política de Privacidade, dos procedimentos de proteção de dados ou das políticas de segurança da informação pode resultar em medidas disciplinares, podendo chegar até à rescisão do contrato de trabalho.

Se um colaborador tiver conhecimento ou suspeitar que uma atividade ou conduta, que esteja a ser proposta ou já tenha ocorrido, viola as políticas ou procedimentos de privacidade de dados e/ou segurança da informação, tem o dever de comunicar o incidente imediatamente. Quaisquer incidentes deste tipo devem ser comunicados ao supervisor direto do colaborador, ao responsável pelos Recursos Humanos, ao responsável pela Qualidade e Conformidade ou à Direção.

11. Denúncia de violações

A conduta dos colaboradores pode reforçar um ambiente ético e influenciar positivamente a conduta dos colegas. Se um colaborador não tiver meios para impedir uma suspeita de má conduta ou descobrir uma suspeita de má conduta após esta ter ocorrido, deve comunicar as suas suspeitas ao seu superior hierárquico direto, ao responsável pelos Recursos Humanos, ao Encarregado da Proteção de Dados ou à Direção.

Quaisquer relatórios que envolvam a Direção serão imediatamente comunicados ao Conselho de Administração.

As violações comunicadas pelos funcionários, seja por telefone, notas detalhadas e/ou e-mails, serão tratadas com confidencialidade.

A omissão de comunicar irregularidades conhecidas ou suspeitas relacionadas com as atividades da CRIO pode, por si só, sujeitar essa pessoa ou entidade a medidas disciplinares, que podem ir até à rescisão do contrato de trabalho.

Não serão tomadas quaisquer medidas disciplinares nem outras formas de retaliação ou vingança contra qualquer colaborador que, de boa-fé, comunique uma preocupação, uma questão, um problema ou uma violação da lei, dos regulamentos ou do Código de Conduta.

12. Formação de Colaboradores

Devido à natureza e importância da privacidade de dados e para mitigar o risco de incumprimento regulamentar, os colaboradores da CRIO estão sujeitos a formação anual sobre privacidade de dados. Todos os indivíduos da organização devem possuir a formação e as qualificações adequadas para desempenhar as tarefas que lhes são atribuídas no âmbito do ambiente que contém dados regulamentados.

13. Referências

  • Regulamento Geral sobre a Proteção de Dados (RGPD)
  • Lei de Privacidade do Consumidor da Califórnia (CCPA)
  • Lei de Portabilidade e Responsabilidade dos Seguros de Saúde (HIPAA)
  • Quadro de Proteção de Dados UE-EUA (EU-U.S. DPF)
  • Quadro de Proteção de Dados Suíça-EUA (Swiss-U.S. DPF)
  • Aplicação do Acordo UE-EUA sobre Proteção de Dados no Reino Unido

Dê aos locais o que eles precisam e veja o seu estudo ser bem-sucedido.

Agende uma demonstração