Normas básicas para sitios web y aplicaciones móviles:
************** Instrucciones para configurar su aviso **************
Las orientaciones dadas a continuación y el aviso de privacidad deben seguirse a la hora de diseñar aplicaciones móviles o sitios web que recopilen de forma activa, almacenen y traten, de forma general, datos personales (p. ej., una aplicación móvil para los pacientes con asma, que los ayude a mejorar la administración de su medicación; un sitio web diseñado para que los médicos y expertos se inscriban en uno de nuestros seminarios; o un sitio web diseñado para reclutar a pacientes para un ensayo). Si solo desea emplear un aviso de privacidad largo para su aplicación móvil o sitio web, elimine el texto “Para más información sobre […], haga clic aquí” y “Texto detrás del enlace de ‘haga clic aquí’” del aviso e incluya el texto pertinente en el aviso de formato largo. Tenga en cuenta que el emplear solo el aviso de formato largo puede afectar negativamente a la legibilidad del texto en un smartphone y que las directrices normativas recomiendan un enfoque por etapas..
Las secciones destacadas en amarillo son instrucciones para el autor y deben borrarse antes de publicar el aviso. Las secciones destacadas en verde deben mantenerse en el aviso y completarse siguiendo las instrucciones. Los textos en azul son sugerencias que pueden emplearse con carácter general. Los textos en naranja son solo ejemplos, y deben cambiarse para adaptarse a las circunstancias específicas de su aplicación o sitio web.
La aplicación debe contener un aviso de divulgación que debe aparecer en la pantalla del smartphone o del navegador web antes de poder instalarla en el teléfono de la persona en cuestión (p. ej., del paciente) o antes de que introduzca sus datos en el portal web. Cuando no sea posible y usted proporcione la información sobre privacidad después de la descarga e instalación de la aplicación, asegúrese de que el aviso se muestra antes de que la aplicación empiece a recopilar los datos personales pertinentes.
El aviso de divulgación corto debe
- estar escrito en un lenguaje sencillo y claro, adaptado al público al que va dirigido.
- identificar a las entidades de AZ responsables (al responsable del tratamiento de los datos personales).
- describir exactamente qué información recopilará la aplicación sobre la persona y por qué.
- explicar quién ve o tiene acceso a la información, e incluir si esta se transferirá al extranjero.
- y cómo la persona/el paciente puede dejar de usar la aplicación, solicitar el acceso a sus datos o su eliminación.
- prestar especial atención a la hora de señalar acciones no deseadas o consideradas onerosas por parte del usuario. Del mismo modo, no ocultar información importante ni confundir, en modo alguno, al usuario.
El aviso de divulgación corto para smartphones puede emplearse junto con ampliaciones de la información sobre el mismo. Los responsables normativos recomiendan separar la información de esta forma si es muy larga, y así la persona sabrá siempre exactamente en cada punto qué recopilación de datos personales se hará. Por ejemplo:
- Aplicaciones relacionadas con ensayos clínicos: el aviso simple en la aplicación móvil puede emplearse junto con el formato largo de consentimiento informado proporcionado al paciente como parte de su inscripción en el ensayo clínico.
- Otros tipos de aplicaciones: el aviso inicial para el usuario contiene la mínima información requerida, y se pone a su disposición más información a través de enlaces a la política completa de privacidad.
El aviso de divulgación para smartphones debe parecerse a este (adapte el texto con una descripción SIMPLE y apropiada, según sea necesario):
************** Texto de su aviso, actualice las secciones pertinentes **************
AVISO DE PRIVACIDAD
Esta aplicación ha sido desarrollada o encargada por Xxxxxxx (incluir el nombre exacto y la dirección de la Entidad de AZ que desarrolló o encargó la aplicación y que es responsable del tratamiento de los datos personales) (“AstraZeneca”, “Nosotros”, “A nosotros”). La aplicación recopilará determinados datos personales de usted, como por ejemplo xxxxxxxxxx [enumere los tipos de datos personales recopilados]. Si son muchos, enumere las categorías más amplias de datos (p. ej., datos de contacto, ubicación, identificadores en línea, etc.)]. Es mejor incluir el motivo para recopilar el tipo de datos que se considera más intrusivo (p. ej., seguimiento de GPS) o confidencial (datos de salud). Ejemplo: “recogemos su nombre completo y datos de contacto (para comunicarnos con los pacientes); determinada información que es relevante para el estudio clínico, como el sexo y la fecha de nacimiento; e información relacionada con la salud, como la presión arterial, el colesterol y la medicación (para permitirle a usted y a su médico seguir con sus avances”). Usted nos proporcionará dicha información. Nuestra necesidad de tratamiento de sus datos personales se basa en su consentimiento explícito o en una necesidad comercial legítima.
El objeto principal de esta aplicación es xxxxxxxxxxx (incluya una descripción simple y concisa. Ejemplo: ayudar a los pacientes a gestionar la programación de su medicación, realizar el seguimiento de sus datos sanitarios y del tiempo que pasan haciendo ejercicio. También recibiremos información médica a través de la aplicación y de encuestas relacionadas con la salud que haya completado. La aplicación también está diseñada para ayudar a AstraZeneca a comprender la efectividad y el progreso del paciente con la medicación).
Toda la información facilitada a través de esta aplicación se almacenará en servidores seguros en xxxx (incluir ubicación(es). También podemos transferir sus datos personales a otras empresas del grupo AstraZeneca y a terceros con fines de soporte técnico, o de conformidad con cualquier obligación legal. [Para obtener más información sobre cómo compartimos sus Datos personales, haga clic aquí].
[Texto detrás del enlace “haga clic aquí”: Sus datos también pueden compartirse con determinados terceros, como: Proveedores de software de TI implicados en el desarrollo y mantenimiento de esta aplicación; auditores y consultores para verificar nuestro cumplimiento con los requisitos internos y externos; cuerpos estatutarios, agencias encargadas del cumplimiento de la ley y litigantes, por una obligación de proporción de información legal o por una demanda; y con cualquier sucesor o socio comercial de AstraZeneca, o con una empresa del grupo AstraZeneca en caso de que se venda, se produzca una cesión o se establezca un acuerdo de colaboración/empresa conjunta aplicable a todo o a parte del negocio].
Esas entidades de AstraZeneca y terceros colaboradores pueden tener su sede en cualquier parte del mundo, lo que puede incluir países que no ofrezcan las mismas protecciones legales de sus datos personales que ofrece su país de residencia. [Para más información sobre cómo protegemos la transferencia internacional de sus datos personales, haga clic aquí].
[Texto detrás del enlace “haga clic aquí”: Independientemente del país al que se transfieran sus Datos personales, solo los compartiremos de acuerdo con el fundamento de “necesidad de conocerlos” y de las restricciones contractuales apropiadas (como las Normas corporativas vinculantes de AstraZeneca y las Cláusulas contractuales tipo de la UE). Usted puede tener derecho a recibir una copia de las Normas corporativas vinculantes de AstraZeneca o de las Cláusulas contractuales tipo de la UE de AstraZeneca previa solicitud, poniéndose en contacto con AstraZeneca en privacy@astrazeneca.com].
Si desinstala la aplicación, la información personal que haya remitido a través de esta se eliminará de forma segura, a no ser que se exija que AstraZeneca almacene sus datos personales de conformidad con lo dispuesto por la legislación local y en la Política de conservación de documentos de la empresa. Para más información sobre la Política de conservación de documentos interna de AstraZeneca, visite www.astrazenecapersonaldataretention.com .
Si tiene o planea tener un aviso/política de privacidad largo asociado con la aplicación/con el sitio web, haga referencia al documento. Ejemplo: Para más información sobre la forma en la que se gestionarán sus datos personales, y para conocer sus derechos de privacidad, lea el Aviso/la Política de privacidad (añada el enlace directo) O Para más información sobre la forma en que se gestionarán sus datos personales, y para conocer sus derechos de privacidad, lea la sección pertinente de su consentimiento informado.
Puede contactar con AstraZeneca a través de www.astrazenecapersonaldataretention.com en cualquier momento, para solicitar acceso a los datos personales que conservamos sobre usted, para corregir cualquier error, solicitar la eliminación de los mismos o retirar su consentimiento para determinados tipos de tratamiento de sus datos personales. [Para más información sobre cómo responde AstraZeneca a dichas solicitudes, haga clic aquí].
[Texto detrás del enlace “haga clic aquí”: Si la solicitud implica que AstraZeneca o sus filiales infrinjan sus obligaciones según las leyes, normas o códigos de conducta aplicables, es posible que AstraZeneca no pueda cumplir con su solicitud, pero usted puede seguir pidiendo que bloqueemos el uso de su información personal para un tratamiento ulterior. En determinadas circunstancias, también tendrá derecho a solicitar la portabilidad de sus datos a otro responsable del tratamiento de datos].
AstraZeneca ha designado a un delegado de protección de datos responsable de supervisar el cumplimiento por AstraZeneca de la legislación de protección de datos de la UE y del Reino Unido, con el que puede contactar en privacy@astrazeneca.com o por correo postal con los datos Global Data Protection Officer, Astra Zeneca Middlewood Court, Silk Road, Macclesfield, Cheshire SK10 2NA, en caso de que tenga preguntas o dudas sobre el tratamiento de sus datos personales. Si el tratamiento, por parte de AstraZeneca, de sus datos personales está cubierto por la legislación británica o de la UE de protección de datos, también puede presentar una reclamación ante la autoridad de control competente de protección de los datos de su país de residencia. Puede encontrar el nombre y los datos de contacto de la autoridad de control de la UE correspondiente en https://edpb.europa.eu/about-edpb/board/members_en y los datos de contacto de la autoridad de control de protección de datos del Reino Unido en https://ico.org.uk/global/contact-us/.
Para las aplicaciones de ensayos clínicos, añada esta frase o algo parecido: Cancelar el uso de la aplicación no afectará a su atención sanitaria habitual ni a su participación en este estudio.
Última actualización diciembre de 2021