Skip to main content
Skip to main navigation
Skip to footer

“Privacy Shield” entre la UE y EE. UU. y Suiza y EE. UU.

Cerner se compromete oficialmente a cumplir con los “Privacy Shield” entre la UE y EE. UU. y Suiza y EE. UU. (vínculo en inglés) mediante la autocertificación.

Información general

Cerner Corporation y sus filiales enumeradas a continuación (en adelante, "Cerner") se comprometen a proteger la privacidad y seguridad de sus clientes, colaboradores y empleados y, por este motivo, operan bajo un conjunto de estrictos principios de privacidad. Cerner está obligada a cumplir con ciertos requisitos legales en lo que respecta a los datos personales que recopila, almacena y/o procesa dentro del Espacio Económico Europeo (en adelante, el "EEE") o Suiza. Dichos requisitos se han establecido en la Directiva europea sobre protección de datos, el Reglamento General de Protección de Datos de la Unión Europea y la legislación aplicable en cada país..

En la medida en que las operaciones comerciales de Cerner requieran que los datos personales recopilados en el EEE o Suiza se procesen en los Estados Unidos de América (en adelante, "EE. UU."), Cerner cumplirá con el marco de trabajo del “Privacy Shield” entre la UE y EE. UU. y el marco de trabajo del “Privacy Shield” entre Suiza y EE. UU. (en lo sucesivo, denominados de forma colectiva "Privacy Shield") según lo establecido por el Departamento de Comercio de EE. UU. en lo concerniente a la transferencia, la recopilación, el uso y el almacenamiento de información personal transferida desde los países miembros del EEE y Suiza a EE. UU., respectivamente. Cerner ha certificado ante el Departamento de Comercio que se adhiere a los Principios del “Privacy Shield” de Notificación, Opción, Responsabilidad por una transferencia ulterior, Seguridad, Integridad de datos y limitación de la finalidad, Acceso, Recurso, Aplicación y Responsabilidad. En caso de conflicto entre las políticas descritas en las presentes Directrices del “Privacy Shield” (en adelante, las "Directrices de privacidad") y los Principios del ”Privacy Shield”, prevalecerán los Principios del ”Privacy Shield”. Para obtener más información acerca del programa “Privacy Shield” y para ver nuestra página de certificación, visite https://www.privacyshield.gov/ (vínculo en inglés).

Las Directrices de privacidad establecen los principios que Cerner sigue en materia de privacidad para la transferencia de datos personales desde el EEE o Suiza a EE. UU. Dichas Directrices de privacidad se aplican a todos los datos personales recibidos por Cerner desde el EEE o Suiza, independientemente del medio o formato en que se almacene la información. Los países miembros del EEE y Suiza se denominarán en lo sucesivo de forma colectiva como "Europa".

Filiales de Cerner cubiertas

Las siguientes filiales de Cerner Corporation reciben datos personales desde el EEE y se adhieren a los Principios del ”Privacy Shield”: Cerner Health Services, Inc. Roles de procesamiento de datos de Cerner, Tipos de datos personales que recibe Cerner y fines para los que se procesa este tipo de datos desde Europa:

Cerner asume dos roles distintos para el procesamiento de datos personales transferidos desde Europa:

En primer lugar, como "Responsable de datos", Cerner determina los objetivos y la forma de recopilar, almacenar y procesar los datos personales relevantes.

Cerner, como Responsable de datos, recopila y procesa datos personales relacionados con sus clientes, proveedores, colaboradores y empleados. Los datos personales recopilados de clientes, proveedores y colaboradores y procesados por Cerner se limitarán únicamente a lo necesario en el ámbito de la relación comercial, por ejemplo, nombre, información de contacto, registros de pagos, contratos y correspondencia comercial. Cuando Cerner, en su condición de Responsable de datos, reciba, almacene y procese datos personales de empleados de las filiales de Cerner en Europa, que se transfieren a Cerner Corporation en EE. UU. para fines de administración de recursos humanos, el procesamiento de dichos datos estará sujeto a la Política de privacidad de RR. HH. de Cerner.

Además, el objetivo de Cerner es proporcionar a sus clientes internacionales, colaboradores y empleados una experiencia de Internet personalizada y un servicio de comunicación e información en línea basado en Internet que ofrezca información, recursos y servicios que sean de ayuda y relevantes para sus usuarios. A fin de lograr estos objetivos, Cerner recopila y procesa datos personales durante las visitas de los usuarios a los sitios web y, especialmente, durante las visitas de los usuarios a Cerner.com y uCern.com. Como consecuencia, Cerner podría procesar datos personales de clientes, colaboradores y empleados europeos al proporcionar servicios web, como, por ejemplo, una plataforma de comunicación basada en Internet para que los profesionales estén interconectados. La recopilación y el uso de los datos personales por parte de Cerner varía en función de los servicios web solicitados por los usuarios, así como la elección que haga el usuario en lo que respecta a las opciones de privacidad de los servicios del sitio web en cuestión. Para los usuarios europeos del sitio web de Cerner también se aplican los principios establecidos en la Política de privacidad de Cerner: https://www.cerner.com/Privacy/ (en inglés).

En segundo lugar, como "Encargado de tratamiento de datos", Cerner procesa los datos personales de sus clientes que son Responsables de datos. Así pues, Cerner no es propietaria de los datos personales ni determina los objetivos del procesamiento de los mismos. Los clientes de Cerner, en calidad de Responsables de datos, recopilan los datos y determinan el propósito de su procesamiento. Cerner recibe y procesa datos personales para sus clientes siguiendo las instrucciones de los mismos. En tales circunstancias, Cerner no tiene ninguna relación directa con las personas relacionadas con dichos datos personales. En calidad de Encargado de tratamiento de datos que actúa en nombre de un cliente, Cerner está obligada a proporcionar sus servicios de conformidad con los Principios del “Privacy Shield” y el contrato con el cliente en cuestión, así como la protección de privacidad de datos estipulada en el mismo. No obstante, Cerner dependerá de su cliente, el Responsable de datos, para cumplir con la legislación de protección de datos aplicable en el EEE en el momento en que el cliente recopile o reciba los datos personales.

Como fabricante de sistemas de información clínica y de gestión, Cerner ofrece a sus clientes de todo el mundo servicios implementación y asistencia técnica para las soluciones de Cerner en sus instituciones asistenciales. Puesto que Cerner proporciona dichos servicios a distintas instituciones asistenciales, es posible que Cerner reciba, almacene y procese datos personales de clientes europeos, incluidos el nombre del empleado del cliente, el rol, el correo electrónico, el número de teléfono, la dirección del trabajo, etc., así como todos los datos del paciente que proporcione el cliente a fin de resolver problemas y conflictos concretos de hardware y software de conformidad con los acuerdos comerciales y/o de servicio. Además, Cerner ofrece servicios gestionados tales como almacenamiento remoto, supervisión remota de sistemas, recuperación de desastres, almacenamiento de datos y servicios de gestión de aplicaciones, en los que puede actuar como guardián de información de salud protegida del paciente para ciertos clientes. Con esta oferta de servicios, Cerner no solo tiene acceso a información de salud personal propiedad del proveedor, sino que también realiza muchas de las actividades de custodia del mismo.

Estas Directrices de privacidad deben interpretarse según esta distinción.

Notificación

Si Cerner, como Responsable de datos, transfiere datos a terceros o usa los datos con fines distintos a aquellos autorizados originalmente, Cerner enviará una notificación al titular individual de los datos de acuerdo con los principios de Notificación y Opción del marco de trabajo del “Privacy Shield”. Cerner informa a las personas para las que actúa en calidad de Responsable de datos de que participa en el ”Privacy Shield”, del objetivo y el uso de la información personal, la forma de contacto para consultas o quejas, de los tipos de terceros a quienes se divulgan los datos, del objetivo de dicha divulgación, del derecho de las personas a acceder a sus datos personales, de las opciones y formas que Cerner ofrece para limitar el uso y la divulgación de la información, del organismo independiente de Cerner encargado de la resolución de conflictos, de la posibilidad de arbitraje vinculante, de la posibilidad de que Cerner esté obligada a divulgar información en cumplimiento de una petición legal de parte de las autoridades públicas (por ejemplo, para cumplir con las obligaciones en materia de seguridad nacional o en cumplimiento de la legislación aplicable) y de la responsabilidad de Cerner en lo que respecta a las transferencias ulteriores a terceros.

En el caso de que Cerner se encuentre procesando datos personales en EE. UU. para un cliente europeo, Cerner procesará los datos de conformidad con las instrucciones del cliente y le informará de que participa en el ”Privacy Shield”. El cliente, en calidad de "Responsable de tratamiento de datos", será responsable de garantizar que los datos personales se procesen de acuerdo con los derechos y requisitos relativos a las personas de conformidad con la Ley europea de protección de datos.

Opción

Cerner, en su papel de "Responsable de datos", permitirá a las personas decidir (mediante una opción de "no participación" salvo que la legislación aplicable especifique lo contrario) si están de acuerdo con que sus datos (1) se divulguen a un controlador externo o (2) se usen para fines distintos del fin para el que se recopilaron originalmente o se autorizaron posteriormente por parte de la persona. Las personas pueden decidir no compartir su información mediante la información de contacto que figura a continuación.

En el caso de los datos personales confidenciales (es decir, datos personales que especifiquen enfermedades o estados de salud, origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, perspectivas o actividades ideológicas, pertenencia a sindicatos, información relativa a la vida sexual de la persona, información sobre medidas de seguridad social, procedimientos administrativos o criminales y sanciones tratadas fuera de procedimientos pendientes, u otros datos personales que Cerner reciba de un tercero y que este identifique como datos personales confidenciales), Cerner ofrecerá a las personas la oportunidad de consentir explícitamente (mediante una opción de "participación") si dicha información (1) se divulgará un controlador externo (excepto si está permitido o requerido por contrato o por ley) o (2) se usará para fines distintos del fin para el que se recopilaron originalmente o se autorizaron posteriormente por parte de la persona al ejercer su derecho de participación.

Responsabilidad por una transferencia ulterior

Cerner no comparte datos personales con Responsables de datos de terceros sin el consentimiento de la persona, a menos que la solicitud para divulgar información personal sea en respuesta a requerimientos legales por parte de las autoridades públicas, por ejemplo, para cumplir con obligaciones en materia de seguridad nacional o en cumplimiento de la legislación aplicable. Teniendo en cuenta lo anterior, Cerner celebrará un contrato con el Responsable de terceros que estipulará que dichos datos solo se podrán procesar para fines limitados y específicos de conformidad con el consentimiento proporcionado por la persona en cuestión y que el destinatario proporcionará el mismo nivel de protección que Cerner y notificará a la organización si determina que no puede seguir cumpliendo con su obligación. El contrato establecerá que, cuando se realice dicha determinación, el Responsable de terceros dejará de realizar el procesamiento o llevará a cabo acciones razonables y adecuadas para solventar la situación.

Los datos personales responsabilidad de Cerner se podrán divulgar a proveedores de servicios que procesen datos personales en nombre de Cerner y siguiendo las instrucciones de Cerner. Cerner limita la transferencia de datos a los proveedores de servicios a aquellos datos que sean necesarios para llevar a cabo la función por la que Cerner haya contratado a los terceros a quienes se transfirieron los mismos. En primer lugar, Cerner determinará que los terceros están obligados a proporcionar por lo menos el mismo nivel de protección de datos exigido en los Principios del ”Privacy Shield”. Cerner celebrará un contrato por escrito con las terceras partes en el que se estipularán las medidas de protección adecuadas para garantizar un nivel adecuado de protección de los datos, por ejemplo, utilizando solamente proveedores de servicios de Europa que actúen como procesadores de datos o que tengan la certificación del programa ”Privacy Shield”. Cerner tomará todas las medidas razonables y necesarias para garantizar que los terceros procesen la información personal transferida de forma efectiva y de conformidad con las obligaciones de Cerner en lo que respecta a los Principios. Si llegase a conocimiento de Cerner que un tercero está usando o divulgando datos personales de forma contraria a estas Directrices de privacidad, Cerner tomará todas las medidas razonables y necesarias para impedir o detener dicho uso o divulgación y solventar el procesamiento no autorizado. Los terceros también están obligados a notificar a Cerner si ya no pueden cumplir con su obligación de proporcionar el mismo nivel de protección de conformidad con los Principios de privacidad. Si así lo solicitase, Cerner proporcionará un resumen o una copia representativa de las disposiciones en materia de privacidad de su contrato con los terceros al Departamento.

Asimismo, es posible que Cerner esté obligada a divulgar la información personal de una persona en respuesta a requerimientos legales por parte de las autoridades públicas, por ejemplo, para cumplir con obligaciones en materia de seguridad nacional o en cumplimiento de la legislación aplicable. En el caso de transferencias ulteriores a terceros de datos de personas europeas con arreglo al ”PRivacy Shield”, Cerner es potencialmente responsable.

Seguridad de los datos

Cerner tomará todas las medidas razonables y necesarias para proteger los datos personales ante posibles pérdidas, uso incorrecto, así como la divulgación, la alteración, la destrucción y/o el uso no autorizados de los datos personales, teniendo en cuenta los riesgos derivados del procesamiento y la naturaleza de dichos datos. Así pues, Cerner ha establecido medidas de seguridad físicas, electrónicas y de gestión adecuadas para salvaguardar y asegurar todos los datos personales bajo control de Cerner ante posibles pérdidas y el uso incorrecto de los mismos, así como ante la divulgación, alteración, destrucción o acceso no autorizados.

Integridad de datos y limitación de la finalidad

Cerner procesa los datos personales de forma relevante y de conformidad con el propósito para el que se recopilaron o posteriormente se autorizaron por parte del Responsable de datos del cliente o la persona afectada. En la medida que sea necesaria para dichos fines, Cerner tomará las medidas razonables para garantizar que los datos personales sean precisos, completos, actuales y fiables para su uso previsto. Cerner se compromete a adherirse a este principio mientras esté en posesión de dicha información.

Acceso

Cerner reconoce que, con sujeción a ciertas restricciones legales, las personas tienen derecho a acceder a la información y los datos personales mantenidos por Cerner en calidad de Responsable de los mismos. Cualquier persona que desee acceder a sus datos, o que quiera corregir, modificar o eliminar datos imprecisos en posesión de Cerner como Responsable de datos, deberá dirigir su consulta a la información de contacto incluida a continuación. Cerner responderá a la solicitud dentro de un plazo razonable. En su rol de procesador de datos, Cerner procesará cualquier solicitud de acceso dirigida a un cliente de Cerner.

Recurso, aplicación y responsabilidad

Cerner recurre a un método de autoevaluación para comprobar el cumplimiento de estos Principios del “PRivacy Shield” y revisa periódicamente que sus Políticas de privacidad publicadas en lo respectivo a la información personal recibida desde Europa sean precisas, incluyan toda la información que necesaria, estén claramente expuestas, implementadas en su totalidad y sean accesibles. Asimismo, evalúa que dichas Políticas de privacidad se ajusten a los Principios del ”Privacy Shield”. Cerner lleva a cabo regularmente actividades de capacitación para sus empleados acerca de las Políticas de privacidad y la información personal durante los proyectos de implementación. Asimismo, sanciona a los empleados en caso de no seguir dichas políticas.

De conformidad con los Principios del “Privacy Shield”entre la UE y EE. UU. y Suiza y EE. UU., Cerner se compromete a resolver las quejas en lo respectivo a la privacidad y la recopilación o el uso de la información personal. Las personas del EEE o Suiza con consultas o quejas relativas a dicha Política de privacidad deberán ponerse en contacto primero con Cerner, mediante la información de contacto que figura a continuación, antes de proceder a utilizar mecanismos de recurso independientes. Cerner investigará e intentará resolver todas las quejas y conflictos relativos al uso y la divulgación de datos personales de conformidad con los Principios del ”Privacy Shield”. Cerner responderá a las quejas en un plazo máximo de 45 días tras su recepción según lo establecido en los Principios del ”Privacy Shield”.

Además, Cerner se compromete a derivar las quejas no resueltas en materia de privacidad en el marco de los Principios del Escudo de la privacidad a la BBB EU Privacy Shield (Oficina de mejores prácticas comerciales para el Escudo de la privacidad de la UE), un organismo sin ánimo de lucro dedicado a la resolución de conflictos que opera bajo el control del Council of Better Business Bureaus (Consejo de Oficinas de mejores prácticas comerciales) sin costo alguno para las personas. Si no recibe una confirmación inicial de su queja en un periodo razonable o si su queja no ha sido tratada satisfactoriamente por Cerner, visite el sitio web de la BBB EU Privacy Shield www.bbb.org/EU-privacy-shield/for-eu-consumers/ (en inglés) para obtener más información y presentar una queja.

Si su queja quedase completa o parcialmente sin resolver después de ser revisada por Cerner, la BBB EU Privacy Shield y la autoridad competente en materia de protección de datos (DPA, por sus siglas en inglés), podrán, en determinadas circunstancias, solicitar el arbitraje ante el Comité del ”Privacy Shield”. Para obtener más información, visite www.privacyshield.gov (en inglés).

Cualquier persona que decida invocar esta opción de arbitraje deberá realizar los siguientes pasos antes de iniciar una solicitud de arbitraje: (1) presentar la supuesta infracción directamente a Cerner y dar a Cerner la oportunidad de resolver el problema en un plazo máximo de 45 días tras haber recibido la queja; (2) utilizar el mecanismo de recurso independiente, BBB EU Privacy Shield: y (3) plantear el problema, a través de las autoridades competentes en materia de protección de datos de la UE o la Comisión de información y protección de datos de Suiza, al Departamento de Comercio y permitir que dicho departamento dedique todos sus esfuerzos a resolver la queja y responder ante las DPA en un plazo de 90 días.

Datos de Recursos humanos

Asimismo, Cerner, en calidad de Responsable de datos, se compromete a cooperar con las autoridades de protección de datos de la UE y con la Comisión federal de información y protección de datos de Suiza (Swiss Federal Data Protection and Information Commissioner, en adelante “FDPIC”) en lo que respecta a los datos de recursos humanos transferidos desde Europa en el marco de una relación laboral. Si una organización de Europa transfiere a Cerner información personal de sus empleados (pasados o actuales), recopilada en el marco de una relación laboral, la recopilación de la información y el procesamiento de la misma antes de transferirla se regirán por la legislación aplicable del país europeo en que se recopilara dicha información y se deberán respetar todas las condiciones o restricciones en lo respectivo a la transferencia de información de conformidad con dicha legislación. Al recibir información acerca de algún empleado desde Europa, según lo estipulado en el Escudo de la privacidad, Cerner podrá divulgarla a controladores de datos de terceros o utilizarla para fines distintos del fin original únicamente de conformidad con los principios de Notificación y Opción.

Si no recibe una confirmación de recepción de su queja en un plazo razonable o si Cerner no aborda su queja de forma satisfactoria y su consulta o queja implica datos de recursos humanos, podrá tramitar su queja mediante un mecanismo de recurso independiente. Para las personas afectadas de la UE y el EEE, será un comité establecido por las autoridades competentes en materia de protección de datos de la UE (en adelante, el “Comité de DPA”) y para los interesados de Suiza, será la FDPIC. Para esto, póngase en contacto con la autoridad competente a nivel estatal o nacional en materia laboral o de protección de datos de la jurisdicción en la que desarrolle su actividad laboral. Cerner acuerda cooperar y atenerse a las decisiones del Comité de DPA y de la FDPIC.

Información de contacto

En virtud de lo dispuesto en los Principios del ”Privacy Shield”, Cerner se compromete a resolver las quejas en lo que respecta a la privacidad y la recopilación y uso de su información personal. Los ciudadanos europeos que tengan consultas o quejas acerca de esta Política de privacidad deberán ponerse primero en contacto con Cerner de la siguiente manera:

En Europa:
Jana Fuchs
Responsable de protección de datos de EMEA
Cerner Health Services Deutschland GmbH
4th Floor, Siemensdamm 50 Berlin, Germany 13629
Teléfono: +49 040 30333 5931
Correo electrónico: Jana.Fuchs@cerner.com

En EE. UU.:
Marc E. Elkins
Director ejecutivo de cumplimiento
Cerner Corporation
2800 Rockcreek Parkway - Cerner Corporation
North Kansas City, Missouri 64117-2551
Teléfono: Teléfono: 816-221-1024
Fax: 816-579-0550
Correo electrónico: melkins@cerner.com

Modificaciones

Estas Directrices de privacidad se podrán modificar periódicamente de conformidad con los requisitos del ”Privacy Shield”. Todas las políticas revisadas se publicarán en este sitio web.

Fecha de entrada en vigor: 31.10.2017