POLÍTICA DE PRIVACIDAD
1. OBJETIVO
La presente Política de Privacidad y Protección de Datos Personales tiene como objetivo proporcionar orientaciones sobre cómo gestionar las diversas actividades y operaciones de tratamiento de datos personales existentes en Synvia.
Por medio de este documento, el Grupo Synvia busca la adecuación a la Ley General de Protección de Datos de Brasil (Ley n.º 13.709/2018 – “LGPD”) y a otras leyes sectoriales sobre el tema.
La presente Política establece las directrices de Synvia para la protección y el uso de datos personales que sean tratados en sus actividades, tomando como referencia la Ley General de Protección de Datos Personales, entre otras normas nacionales e internacionales relativas a la privacidad y a la protección de datos personales.
2. DEFINICIONES
Para los fines de esta Política, se aplican las siguientes definiciones:
AGENTES DE TRATAMIENTO DE DATOS PERSONALES: El controlador y el operador de datos personales.
ANONIMIZACIÓN: Utilización de medios técnicos, razonables y disponibles en el momento del tratamiento de datos personales, por los cuales un dato pierde la posibilidad de asociación, directa o indirecta, a un individuo. El dato anonimizado no se considera dato personal para los fines de la LGPD.
AUTORIDAD NACIONAL DE PROTECCIÓN DE DATOS (“ANPD”): Órgano de la administración pública responsable de velar, implementar y fiscalizar el cumplimiento de la LGPD en todo el territorio nacional.
CONTROLADOR DE DATOS PERSONALES: Persona física o jurídica, de derecho público o privado, a quien competen las decisiones referentes al tratamiento de datos personales.
DATOS PERSONALES: Información relacionada con una persona natural identificada o identificable. También se consideran datos personales aquellos utilizados para la formación del perfil de comportamiento de determinada persona natural.
DATOS PERSONALES SENSIBLES: Dato personal sobre origen racial o étnico, convicción religiosa, opinión política, afiliación a sindicato o a organización de carácter religioso, filosófico o político, dato referente a la salud o a la vida sexual, dato genético o biométrico cuando esté vinculado a una persona natural.
ENCARGADO O DATA PROTECTION OFFICER (“DPO”): Persona física o jurídica designada por el Agente de Tratamiento para actuar como canal de comunicación entre el Controlador, los titulares de datos y la ANPD. Será responsable de la implementación del Programa de Conformidad y de la conducción de las actividades relacionadas con la protección de datos en el Sistema de Controles Internos y de Conformidad de Synvia.
PROVEEDORES: En el contexto de Synvia, se consideran proveedores los demás terceros contratados y subcontratados, persona física o jurídica, no encuadrados como socios comerciales.
LEY GENERAL DE PROTECCIÓN DE DATOS (“LGPD”): Norma legal (Ley n.º 13.709/2018) que regula el tratamiento de datos personales en medios digitales o físicos.
OPERADOR DE DATOS PERSONALES: Persona física o jurídica, de derecho público o privado, que realiza el tratamiento de datos personales en nombre del Controlador.
SOCIOS COMERCIALES: Terceros contratados (persona física o jurídica) que actúan en nombre de Synvia, como: consultores, convenidos y agentes comerciales.
TERCERO: Toda persona física o jurídica contratada por Synvia para desarrollar o auxiliar en el desarrollo de sus actividades (proveedores o socios comerciales).
TITULAR DE DATOS PERSONALES (“TITULAR”): Persona natural a quien se refieren los datos personales que son objeto de tratamiento.
TRATAMIENTO DE DATOS PERSONALES (“TRATAMIENTO”): Toda operación realizada con datos personales (recolección, producción, recepción, clasificación, utilización, acceso, reproducción, transmisión, distribución, procesamiento, archivo, almacenamiento, eliminación, evaluación, control, modificación, comunicación, transferencia, difusión o extracción).
3. APLICABILIDAD
Esta Política establece directrices y reglas para garantizar que sus destinatarios comprendan y cumplan las legislaciones que versan sobre la protección de datos personales en todas las interacciones con titulares de datos personales actuales y futuros, terceros y agentes de tratamiento de datos personales externos a Synvia en el ámbito de sus actividades.
Más allá de los conceptos definidos por las normas, la información abarcada por la presente Política incluye todos los datos poseídos, usados o transmitidos por Synvia o en su nombre, en cualquier tipo de medio. Esto incluye datos personales registrados en papel, mantenidos en sistemas informáticos o dispositivos portátiles, así como datos personales transmitidos oralmente.
4. OBJETIVOS ESPECÍFICOS
Son objetivos de la Política de Privacidad y Protección de Datos Personales:
• Establecer las directrices y responsabilidades de Synvia que aseguren y refuercen el compromiso de la Organización con el cumplimiento de las legislaciones aplicables;
• Describir las reglas que deben seguirse en la conducción de las actividades y operaciones de tratamiento de datos personales realizadas por Synvia y por los destinatarios de esta Política.
La presente Política debe leerse junto con las obligaciones previstas en los siguientes documentos:
• Contratos de trabajo de los empleados de Synvia;
• Políticas y normas de procedimientos de seguridad de la información;
• Todas las normas internas relativas a la protección de datos personales que sean elaboradas y actualizadas.
5. PRINCIPIOS DE PRIVACIDAD Y PROTECCIÓN DE DATOS
Synvia cumplirá con los siguientes principios en el tratamiento de datos personales:
• FINALIDAD: Tratamiento solo para propósitos legítimos, específicos, explícitos e informados al titular, sin posibilidad de tratamiento posterior incompatible.
• ADECUACIÓN: Tratamiento compatible con las finalidades informadas y de acuerdo con el contexto.
• NECESIDAD: Tratamiento limitado al mínimo necesario (datos pertinentes, proporcionales y no excesivos).
• LIBRE ACCESO: Consulta facilitada y gratuita sobre la forma, la duración del tratamiento y la integridad de los datos.
• CALIDAD DE LOS DATOS: Garantía de exactitud, claridad, relevancia y actualización de los datos.
• TRANSPARENCIA: Información clara, precisa y fácilmente accesible sobre el tratamiento y los agentes de tratamiento.
• SEGURIDAD: Medidas técnicas y administrativas aptas para proteger los datos personales.
• PREVENCIÓN: Adopción de medidas para prevenir la ocurrencia de daños.
• NO DISCRIMINACIÓN: Imposibilidad de tratamiento para fines discriminatorios ilícitos o abusivos.
• RESPONSABILIZACIÓN Y RENDICIÓN DE CUENTAS: Demostración de la adopción de medidas eficaces de cumplimiento de las normas.
6. BASES LEGALES PARA EL TRATAMIENTO DE DATOS PERSONALES
Todas las operaciones de tratamiento tendrán una base legal que legitime su realización. Synvia podrá realizar el tratamiento de datos personales:
• Mediante el otorgamiento de consentimiento por parte del titular;
• Para el cumplimiento de una obligación legal o regulatoria;
• Para la realización de estudios por un órgano de investigación;
• Cuando sea necesario para la ejecución de un contrato o de procedimientos preliminares;
• Para el ejercicio regular de derechos en proceso judicial, administrativo o arbitral;
• Para la protección de la vida o de la integridad física del titular o de un tercero;
• Para la tutela de la salud (en procedimiento realizado por profesionales de la salud/autoridad sanitaria);
• Cuando sea necesario para atender los intereses legítimos de Synvia o de terceros;
• Para la protección del crédito.
Synvia realizará registros de sus operaciones de tratamiento, que podrán ser consultados por el titular de los datos y por las autoridades públicas competentes.
7. BASES LEGALES PARA EL TRATAMIENTO DE DATOS SENSIBLES
Synvia asume el compromiso de protección y cuidados especiales frente al tratamiento de datos personales sensibles y datos financieros. Los datos de niños y adolescentes serán tratados con el mismo nivel de cuidado.
El tratamiento de datos sensibles solo podrá realizarse:
Con consentimiento: Cuando el titular o el responsable legal consienta, de forma específica y destacada.
Sin consentimiento: En los casos en que sea indispensable para:
• Cumplimiento de una obligación legal o regulatoria;
• Realización de estudios (garantizada la anonimización siempre que sea posible);
• Ejercicio regular de derechos (contrato, proceso judicial, administrativo, arbitral);
• Protección de la vida o de la integridad física;
• Tutela de la salud;
• Garantía de la prevención del fraude y de la seguridad del titular (identificación y autenticación en sistemas).
8. DERECHOS DE LOS TITULARES DE DATOS PERSONALES
Synvia refuerza su compromiso de respeto a los derechos de los titulares:
• DERECHO A LA CONFIRMACIÓN: Confirmar la existencia de tratamiento de sus datos.
• DERECHO DE ACCESO: Solicitar y recibir copia de los datos recolectados.
• DERECHO DE CORRECCIÓN: Requerir la corrección de datos incompletos, inexactos o desactualizados.
• DERECHO DE ELIMINACIÓN: Requerir la exclusión de datos (salvo que exista un motivo legítimo para su mantenimiento).
• DERECHO DE SUSPENSIÓN DE TRATAMIENTO ILÍCITO: Requerir la anonimización, el bloqueo o la eliminación de datos innecesarios o excesivos.
• DERECHO DE OPOSICIÓN: Oponerse a un tratamiento no basado en el consentimiento (analizado conforme a los criterios de la LGPD).
• DERECHO A LA PORTABILIDAD: Requerir la puesta a disposición de los datos a otro proveedor.
• DERECHO A LA REVOCACIÓN DEL CONSENTIMIENTO: Revocar el consentimiento previamente otorgado (sin afectar la legalidad del tratamiento anterior).
9. DEBERES PARA EL USO ADECUADO DE DATOS PERSONALES
Deberes de los Titulares
• Comunicar a Synvia cualquier modificación en sus datos personales (p. ej., cambio de domicilio).
• Notificar a través del correo electrónico: dpo@synvia.com.
Deberes de los Empleados de Synvia
• El intercambio de datos entre empresas del Grupo Synvia está permitido solo si se respetan la finalidad, la base legal y el principio de necesidad.
• No proporcionar acceso a datos a personas no autorizadas.
• Obtener la autorización necesaria y los documentos que demuestren la competencia para el tratamiento.
• Cumplir las normas de seguridad de la información.
Deberes de Todos los Destinatarios
Contactar al Encargado de Synvia en caso de sospecha u ocurrencia de:
• Operación sin base legal;
• Tratamiento sin autorización;
• Disconformidad con la Política de Seguridad de la Información;
• Eliminación/destrucción no autorizada de datos;
• Cualquier otra violación de esta Política.
10. RELACIÓN CON TERCEROS
Considerando la responsabilidad solidaria prevista en la LGPD, Synvia empleará sus mejores esfuerzos para garantizar que los terceros cumplan con las legislaciones aplicables.
Todos los contratos con terceros deberán contener cláusulas referentes a la protección de datos personales, siendo revisados y sometidos a la aprobación del Encargado y del equipo técnico.
11. SEGURIDAD DE LA INFORMACIÓN
Las normas de seguridad están contenidas en la Política de Seguridad de la Información de Synvia. La organización se compromete a emplear medidas técnicas y organizativas adecuadas para proteger los datos contra accesos no autorizados, pérdida, destrucción y compartición indebida.
12. TRANSFERENCIA INTERNACIONAL DE DATOS
Synvia podrá transferir datos a otros países en las siguientes condiciones:
Sin consentimiento (cuando esté autorizada a tratar datos por otra base legal):
• País con nivel adecuado de protección (según la ANPD o decisión de Adecuación de la Comisión Europea/GDPR); o
• Ofrecimiento de salvaguardas (Códigos de Conducta, Cláusulas Contractuales Estándar, Sellos/Certificados).
Con consentimiento:
• Obtención de consentimiento explícito y destacado para la transferencia internacional.
Synvia informará a los titulares sobre la ocurrencia de transferencias internacionales, designando el conjunto de datos, la finalidad y el destino.
13. MONITOREO Y ACTUALIZACIÓN
Synvia asume el compromiso de revisar la presente Política periódicamente. Todas las modificaciones realizadas serán comunicadas oportunamente por los canales oficiales de la Organización.
14. COMUNICACIÓN POR WHATSAPP
Synvia utiliza WhatsApp como canal oficial de comunicación con titulares que hayan proporcionado su número de teléfono en canales de la Organización (registro de voluntarios, formularios del sitio web, atención presencial o iniciativa del propio titular mediante contacto directo con el número oficial de Synvia).
14.1. Finalidades. Los mensajes enviados por medio de WhatsApp tienen las siguientes finalidades: (i) comunicaciones transaccionales relacionadas con estudios clínicos, incluyendo confirmaciones, recordatorios, orientaciones previas al estudio y seguimientos; y (ii) divulgación de nuevos estudios en reclutamiento y campañas institucionales de Synvia.
14.2. Base legal. El tratamiento de datos personales para el envío de mensajes por WhatsApp se realiza con base en el consentimiento del titular (art. 7º, I, de la LGPD), recolectado de forma específica y destacada en el propio canal, mediante confirmación expresa por parte del titular (respuesta “SÍ” o equivalente a un mensaje de confirmación previamente enviado por Synvia).
14.3. Carácter facultativo y revocación. El otorgamiento del consentimiento es facultativo. El titular puede revocarlo en cualquier momento, sin ningún costo, por medio de:
• Envío de las palabras clave SALIR, CANCELAR, PARAR, DARSE DE BAJA o STOP al número oficial de Synvia;
• Activación del botón de baja presente en los modelos de mensaje (plantillas);
• Solicitud enviada al Encargado al correo electrónico dpo@synvia.com.
La revocación del consentimiento interrumpe inmediatamente el envío de nuevos mensajes, sin perjuicio de la legalidad de los tratamientos realizados con anterioridad a la revocación.
14.4. Registro del consentimiento. Synvia mantiene, en su sistema interno de mensajería (Connect), un registro auditable de las operaciones de consentimiento y revocación, conteniendo, como mínimo: identificación del titular, número de teléfono, fecha y hora del opt-in, canal de origen, versión del texto aceptado, estado actual y, cuando corresponda, fecha y origen de la revocación.
14.5. Plazo de retención. El registro del consentimiento se mantiene por el período en que el titular permanezca activo como destinatario de mensajes y, tras la revocación, por hasta 5 (cinco) años, para fines de cumplimiento de obligaciones legales, regulatorias y ejercicio regular de derechos.
14.6. Dudas. Para dudas relativas al tratamiento de datos por el canal WhatsApp, el titular puede contactar al Encargado de Synvia al correo electrónico dpo@synvia.com.
15. APLICACIONES MÓVILES Y SOFTWARE
Synvia pone a disposición aplicaciones móviles y software propios para el apoyo a sus actividades de investigación clínica, bioequivalencia, toxicología y diagnósticos. Esta sección explica, de forma transparente, cómo tratamos los datos personales por medio de estas aplicaciones.
15.1. Tipos de Usuario
Las aplicaciones de Synvia pueden ser utilizadas por tres categorías de usuario:
• Participantes de estudio clínico, que son los titulares de los datos de salud, en el caso del ePRO;
• Profesionales de investigación, que son los investigadores, subinvestigadores, monitores y equipo regulatorio;
• Equipo administrativo interno de Synvia y/o de sus socios.
15.2. Datos Personales Recolectados por las Aplicaciones
Las aplicaciones de Synvia se dividen en dos categorías en cuanto a la recolección de datos personales, conforme al perfil de usuario al que se destinan.
15.2.1. Aplicación ePRO — utilizada directamente por el participante
El ePRO se destina al uso directo por el participante de estudio clínico. La aplicación no solicita datos de identificación al participante, ya que el acceso se realiza mediante credenciales previamente proporcionadas, vinculadas al registro del participante en el estudio, en conformidad con el protocolo aprobado por el Comité de Ética en Investigación y demás órganos regulatorios competentes.
Los datos recolectados por el ePRO son exclusivamente aquellos previstos en los formularios del protocolo del estudio clínico del cual el participante forma parte. Conforme a lo definido en cada protocolo, estos datos pueden incluir:
• Respuestas a cuestionarios clínicos validados (como, por ejemplo, puntuaciones de calidad de vida, dolor, fatiga, función, entre otros);
• Síntomas relatados (como, por ejemplo, presencia, intensidad, frecuencia);
• Adherencia a la medicación (como, por ejemplo, horarios, dosis, ocurrencias);
• Eventos adversos relatados por el participante;
• Diarios de síntomas y hábitos relevantes para el protocolo;
• Signos vitales autorrelatados, cuando sea aplicable al protocolo;
• Otras informaciones específicas previstas en el protocolo del estudio.
Estos datos se clasifican como datos personales sensibles (artículos 5º, inciso II, y 11 de la Ley General de Protección de Datos Personales) por referirse a la salud del titular. La asociación de los datos al participante ocurre en los sistemas internos de Synvia por medio del identificador único del participante en el estudio (código de participante), sin que la aplicación solicite al titular informaciones de identificación directa como nombre, CPF, correo electrónico o contacto telefónico.
15.2.1.1 Seudonimización de los Datos
Siempre que sea posible, los datos recolectados por medio del ePRO serán tratados de forma seudonimizada, mediante la utilización de un código de participante o identificador único del estudio. Las informaciones que permitan la identificación directa del participante permanecen segregadas en un ambiente controlado y accesible únicamente a profesionales autorizados.
15.2.2. Aplicaciones de gestión de estudios — utilizadas por el equipo interno de Synvia y/o socios
Estas aplicaciones se destinan al uso por los profesionales de investigación de Synvia (como, por ejemplo, investigadores, subinvestigadores, monitores, coordinadores y demás miembros del equipo regulatorio y administrativo) para la conducción, gestión y documentación de los estudios.
Los datos personales tratados en estas aplicaciones pueden incluir:
Datos de los profesionales usuarios de la aplicación:
• Nombre completo;
• Correo electrónico corporativo;
• Función y actividades desarrolladas en el estudio;
• Identificador único de usuario en el sistema;
• Registros de auditoría de uso (fecha, hora y acción realizada).
Datos de participantes de estudio, tratados por el equipo interno:
• Datos de identificación recolectados durante el reclutamiento y la selección del estudio, conforme al protocolo del estudio clínico aprobado, pudiendo incluir nombre, CPF, fecha de nacimiento, contacto y datos demográficos;
• Datos de salud del participante recolectados por el equipo de Synvia conforme al protocolo del estudio clínico (como, por ejemplo, historial clínico, resultados de exámenes, biomarcadores, parámetros farmacocinéticos de bioequivalencia, entre otros);
• Identificador único del participante en el estudio (código de participante).
15.2.3. Datos técnicos de uso (todas las aplicaciones)
Todas las aplicaciones recolectan, de forma transparente, los datos técnicos mínimos necesarios para la operación, la seguridad y la auditoría:
• Identificador del dispositivo, para autenticación y prevención de duplicación de sesión;
• Fecha y hora de acceso y acciones realizadas en la aplicación (registro de auditoría);
• Versión de la aplicación, modelo del dispositivo y sistema operativo, para soporte técnico;
• Dirección IP, para fines de seguridad;
• Registros de fallos (crash reports);
• Registros de desempeño y diagnóstico de la aplicación;
• Eventos de seguridad y autenticación.
15.2.4. Datos no recolectados
Salvo previsión expresa en un anexo específico por aplicación, Synvia no recolecta en sus aplicaciones: ubicación precisa (GPS), salvo cuando esté expresamente prevista por el protocolo de investigación y previamente informada al participante; grabación de audio, video o imágenes, salvo cuando esté explícitamente prevista por el protocolo del estudio clínico; lista de contactos del dispositivo; historial de navegación; mensajes; o datos financieros del usuario.
15.3. Finalidad del Tratamiento
Los datos recolectados por las aplicaciones se tratan exclusivamente para:
• Recolección, registro y análisis de datos de investigación clínica conforme al protocolo del estudio clínico aprobado por el Comité de Ética en Investigación (CEP) y demás autoridades regulatorias competentes;
• Cumplimiento de las exigencias de las autoridades regulatorias nacionales, como, por ejemplo, la Agencia Nacional de Vigilancia Sanitaria (ANVISA) y, cuando sea aplicable, agencias internacionales como FDA, EMA y PMDA;
• Comunicación con participantes y equipos del estudio (como, por ejemplo, recordatorios, orientaciones, seguimientos);
• Garantía de la integridad, trazabilidad y auditabilidad de los datos (Buenas Prácticas Clínicas — GCP/BPC);
• Soporte técnico para el uso de las aplicaciones;
• Para fines de cumplimiento de obligaciones contractuales firmadas por Synvia con terceros.
15.4. Base Legal
El tratamiento de datos personales por las aplicaciones de Synvia se fundamenta en las siguientes bases legales:
Para datos personales no sensibles:
• Ejecución de contrato o procedimientos preliminares (art. 7º, inciso V, de la Ley General de Protección de Datos Personales), en el caso de profesionales de investigación contratados;
• Cumplimiento de obligación legal o regulatoria (art. 7º, inciso II, de la Ley General de Protección de Datos Personales), especialmente para registros exigidos por la ANVISA;
• Consentimiento del titular (art. 7º, inciso I, de la Ley General de Protección de Datos Personales), cuando el titular es el participante del estudio;
• Para la protección de la vida o de la integridad física del titular o de un tercero (art. 7º, inciso VII, de la Ley General de Protección de Datos Personales), cuando el titular es el participante del estudio.
Para datos personales sensibles (incluyendo datos de salud del participante):
• Consentimiento específico y destacado del titular (art. 11º, inciso I, de la Ley General de Protección de Datos Personales), recolectado por medio del Término de Consentimiento Libre e Informado (TCLE) del estudio, aprobado por el Comité de Ética en Investigación y demás órganos regulatorios competentes, reforzado dentro de la propia aplicación en el primer acceso;
• Cuando sea aplicable, cumplimiento de obligación legal o regulatoria (art. 11º, inciso II, letras “a” y “c”, en caso necesario, de la Ley General de Protección de Datos Personales).
15.5. Permisos del Dispositivo
Las aplicaciones de Synvia pueden solicitar acceso a recursos del dispositivo del usuario. Cada permiso se justifica conforme se describe a continuación y solo se recolecta tras la autorización explícita del usuario en el momento del uso (no hay recolección automática en segundo plano):
Permisos de la Aplicación
Para el adecuado funcionamiento y la seguridad del estudio, la aplicación podrá solicitar los siguientes permisos en su dispositivo:
• El permiso de notificaciones se utiliza para el envío de recordatorios de llenado de cuestionarios, así como de comunicaciones relacionadas con el estudio.
• El permiso de almacenamiento permite guardar sus respuestas localmente en el dispositivo antes del envío, posibilitando el uso de la aplicación incluso sin conexión a internet (modo sin conexión).
• El permiso de cámara se solicita exclusivamente para la captura de documentos o imágenes previstas en el protocolo del estudio, y se activa solo cuando tal funcionalidad sea aplicable.
• El permiso de biometría/autenticación se emplea para garantizar el acceso seguro del usuario a la aplicación, por medio de recursos como reconocimiento facial (Face ID) o lector de huella dactilar.
Todos los permisos se utilizan estrictamente para las finalidades descritas anteriormente y pueden gestionarse en cualquier momento en la configuración de su dispositivo.
La autenticación biométrica (Face ID, huella dactilar) se procesa y almacena exclusivamente en el propio dispositivo del usuario. Synvia no recolecta, transmite ni almacena datos biométricos en sus servidores.
El usuario puede revocar cualquier permiso en cualquier momento en la configuración del sistema operativo del dispositivo. La revocación de permisos esenciales puede afectar funcionalidades de la aplicación (por ejemplo, sin permiso de notificación, el participante no recibirá recordatorios de llenado).
15.6. Compartición de Datos
Los datos recolectados por las aplicaciones de Synvia pueden ser compartidos con:
• Patrocinador del estudio clínico: persona física o jurídica, de derecho público o privado, que apoya la investigación mediante financiamiento, infraestructura, recursos humanos o soporte institucional; de este modo, el Patrocinador es el titular del estudio y destinatario primario de los datos;
• Organización Representativa de Investigación Clínica (CRO/ORPC): persona jurídica u organización contratada por el patrocinador para realizar una o más tareas y funciones relacionadas con el estudio clínico;
• Centro de investigación: lugar donde se conducen las actividades relacionadas con el estudio clínico;
• Sistema Nacional de Ética en Investigación con Seres Humanos (SINEP), compuesto por el Comité de Ética en Investigación (CEP) y la Instancia Nacional de Ética en Investigación (INAEP), en el ejercicio de sus atribuciones;
• Autoridades regulatorias: ANVISA, FDA, EMA, PMDA y equivalentes, cuando sea exigido por ley o solicitud formal;
• Proveedores de infraestructura tecnológica (cloud computing, alojamiento, copia de seguridad), sometidos a contratos con cláusulas de protección de datos;
• Autoridades judiciales y administrativas, mediante orden legal específica.
Synvia NO comparte los datos de las aplicaciones para fines de publicidad, marketing de terceros, venta de listas, puntuación de crédito o perfiles de comportamiento comerciales.
Parte de la compartición descrita en el ítem 15.6 puede implicar la transferencia de datos personales fuera de Brasil, como, por ejemplo, en la atención a autoridades regulatorias internacionales (FDA, EMA, PMDA) o en el uso de proveedores de infraestructura tecnológica con sede en el exterior.
Estas transferencias se realizan en conformidad con los artículos 33 a 36 de la Ley General de Protección de Datos. En estos casos, Synvia adopta salvaguardas contractuales y técnicas suficientes para asegurar que los datos transferidos reciban una protección compatible con la exigida por la legislación brasileña.
15.7. Tiempo de Retención
Los datos recolectados por las aplicaciones de Synvia en el contexto de estudios clínicos serán mantenidos por los siguientes plazos:
• Datos primarios del estudio (incluyendo respuestas de ePRO y registros de eCRF): un mínimo de 20 (veinte) años a partir de la finalización del estudio, en cumplimiento del art. 41 de la Resolución RDC n.º 9/2015 de la ANVISA, y, cuando sea aplicable, podrá exigirse otro plazo dependiendo de las normas internacionales, observado el plazo mínimo legalmente exigido para la retención de la documentación esencial del estudio;
• Datos de auditoría y trazabilidad: el mismo plazo que los datos primarios;
• Datos de uso técnico de la aplicación (registros de sesión, telemetría de error): hasta 24 (veinticuatro) meses después de la recolección;
• Datos de profesionales de investigación (como, por ejemplo, investigadores, monitores): por el plazo del vínculo contractual con el estudio, más el plazo de prescripción aplicable.
15.8. Seguridad
Las aplicaciones de Synvia implementan medidas técnicas de seguridad específicas, incluyendo:
• Comunicación cliente-servidor vía TLS 1.2 o superior (cifrado en tránsito);
• Almacenamiento local cifrado (cifrado en reposo) con claves vinculadas al dispositivo del usuario;
• Autenticación por usuario/contraseña fuerte o biometría (Face ID / huella dactilar);
• Control de sesión con expiración automática por inactividad;
• Registro de auditoría de todas las acciones relevantes;
• Actualizaciones de seguridad periódicas distribuidas por las tiendas oficiales (Google Play, Apple App Store).
15.9. Actualizaciones de las Aplicaciones y de Esta Sección
Synvia podrá publicar actualizaciones periódicas de las aplicaciones y de esta sección. Los cambios materiales en esta sección serán notificados a los usuarios por medio de un aviso destacado en la propia aplicación, con solicitud de nuevo consentimiento cuando sea exigido por la Ley General de Protección de Datos Personales.
15.10. Sus derechos y cómo ejercerlos
En los términos del artículo 18 de la Ley General de Protección de Datos Personales, el titular puede solicitar, entre otros, la confirmación de la existencia de tratamiento, el acceso a los datos, la corrección de datos incompletos o desactualizados, la portabilidad e informaciones sobre la compartición. En el contexto de investigación clínica, el ejercicio de algunos derechos puede estar limitado por obligaciones regulatorias (por ejemplo, la guarda obligatoria descrita en el ítem 15.8).
Para ejercer sus derechos o aclarar dudas sobre el tratamiento de datos en las aplicaciones, entre en contacto con el Encargado del Tratamiento de Datos (DPO) de Synvia: dpo@synvia.com. Además de este correo electrónico, los participantes de estudio también pueden contactar al equipo del estudio conforme se indica en el TCLE.
POLÍTICA DE PRIVACIDAD
1. OBJETIVO
La presente Política de Privacidad y Protección de Datos Personales tiene como objetivo proporcionar orientaciones sobre cómo gestionar las diversas actividades y operaciones de tratamiento de datos personales existentes en Synvia.
A través de este documento, el Grupo Synvia busca la adecuación a la Ley General de Protección de Datos (Ley No. 13.709/2018 – “LGPD”) y otras leyes sectoriales sobre el tema.
La presente Política establece las directrices de Synvia para la salvaguarda y uso de datos personales que puedan ser tratados en sus actividades, teniendo como referencia la Ley General de Protección de Datos Personales, entre otras normas nacionales e internacionales relativas a la privacidad y protección de datos personales.
2. DEFINICIONES
Para los fines de esta política, se aplican las siguientes definiciones:
AGENTES DE TRATAMIENTO DE DATOS PERSONALES: El controlador y el operador de datos personales.
ANONIMIZACIÓN: Uso de medios técnicos, razonables y disponibles en el momento del tratamiento de datos personales, mediante los cuales un dato pierde la posibilidad de asociación, directa o indirecta, a un individuo. El dato anonimizado no es considerado dato personal para los fines de la LGPD.
AUTORIDAD NACIONAL DE PROTECCIÓN DE DATOS (“ANPD”): Órgano de la administración pública responsable de velar, implementar y supervisar el cumplimiento de la LGPD en todo el territorio nacional.
CONTROLADOR DE DATOS PERSONALES: Persona física o jurídica, de derecho público o privado, a quien corresponden las decisiones referentes al tratamiento de datos personales.
DATOS PERSONALES: Información relacionada con una persona natural identificada o identificable. También se consideran datos personales aquellos utilizados para la formación del perfil conductual de determinada persona natural.
DATOS PERSONALES SENSIBLES: Dato personal sobre origen racial o étnico, convicción religiosa, opinión política, afiliación a sindicato o a organización de carácter religioso, filosófico o político, dato referente a la salud o a la vida sexual, dato genético o biométrico cuando vinculado a persona natural.
ENCARGADO O DATA PROTECTION OFFICER (“DPO”): Persona física o jurídica indicada por el Agente de Tratamiento para actuar como canal de comunicación entre el Controlador, los titulares de datos y la ANPD. Será responsable de la implementación del Programa de Cumplimiento y conducción de las actividades relacionadas con la protección de datos en el Sistema de Controles Internos y de Cumplimiento SYNVIA.
PROVEEDORES: En el contexto de SYNVIA, se consideran proveedores otros terceros contratados y subcontratados, persona física o jurídica, no encuadrados como socios comerciales.
LEY GENERAL DE PROTECCIÓN DE DATOS (“LGPD”): Diploma normativo (Ley No. 13.709/2018) que dispone sobre el tratamiento de datos personales en medios digitales o físicos.
OPERADOR DE DATOS PERSONALES: Persona física o jurídica, de derecho público o privado, que realiza el tratamiento de datos personales en nombre del Controlador.
SOCIOS COMERCIALES: Terceros contratados (persona física o jurídica) que actúan en nombre de Synvia, como: Consultores, Conveniados y Agentes Comerciales.
TERCERO: Toda persona física o jurídica contratada por Synvia para desarrollar o ayudar en el desarrollo de sus actividades (proveedores o socios comerciales).
TITULAR DE DATOS PERSONALES (“TITULAR”): Persona natural a quien se refieren los datos personales que son objeto de tratamiento.
TRATAMIENTO DE DATOS PERSONALES (“TRATAMIENTO”): Toda operación realizada con datos personales (recolección, producción, recepción, clasificación, utilización, acceso, reproducción, transmisión, distribución, procesamiento, archivo, almacenamiento, eliminación, evaluación, control, modificación, comunicación, transferencia, difusión o extracción).
3. APLICABILIDAD
Esta Política establece directrices y reglas para garantizar que sus destinatarios entiendan y cumplan las legislaciones que versan sobre protección de datos personales en todas las interacciones con actuales y futuros titulares de datos personales, terceros y agentes de tratamiento de datos personales externos a Synvia en el ámbito de sus actividades.
Más allá de los conceptos definidos por las normas, la información abarcada por la presente Política incluye todos los datos detenidos, utilizados o transmitidos por o en nombre de Synvia, en cualquier tipo de medio. Esto incluye datos personales registrados en papel, mantenidos en sistemas de computadora o dispositivos portátiles, así como datos personales transmitidos oralmente.
4. OBJETIVOS ESPECÍFICOS
Son objetivos de la Política de Privacidad y Protección de Datos Personales:
Establecer las directrices y responsabilidades de Synvia que aseguren y refuercen el compromiso de la Organización con el cumplimiento de las legislaciones aplicables;
Describir las reglas a seguir en la conducción de las actividades y operaciones de tratamiento de datos personales realizadas por Synvia y por los destinatarios de esta Política.
La presente Política debe ser leída en conjunto con las obligaciones previstas en los siguientes documentos:
Contratos de trabajo de los empleados de Synvia;
Políticas y normas de procedimientos de seguridad de la información;
Todas las normas internas respecto a la protección de datos personales que vengan a ser elaboradas y actualizadas.
5. PRINCIPIOS DE PRIVACIDAD Y PROTECCIÓN DE DATOS
Synvia cumplirá con los siguientes principios durante el tratamiento de datos personales:
FINALIDAD: Tratamiento solo para propósitos legítimos, específicos, explícitos e informados al titular, sin posibilidad de tratamiento posterior incompatible.
ADECUACIÓN: Tratamiento compatible con las finalidades informadas y de acuerdo con el contexto.
NECESIDAD: Tratamiento limitado al mínimo necesario (datos pertinentes, proporcionales y no excesivos).
LIBRE ACCESO: Consulta facilitada y gratuita sobre la forma, duración del tratamiento e integralidad de los datos.
CALIDAD DE LOS DATOS: Garantía de exactitud, claridad, relevancia y actualización de los datos.
TRANSPARENCIA: Información clara, precisa y fácilmente accesible sobre el tratamiento y los agentes de tratamiento.
SEGURIDAD: Medidas técnicas y administrativas aptas para proteger los datos personales.
PREVENCIÓN: Adopción de medidas para prevenir la ocurrencia de daños.
NO DISCRIMINACIÓN: Imposibilidad de tratamiento para fines discriminatorios ilícitos o abusivos.
RESPONSABILIZACIÓN Y RENDICIÓN DE CUENTAS: Demostración de la adopción de medidas efectivas de cumplimiento de las normas.
6. BASES LEGALES PARA EL TRATAMIENTO DE DATOS PERSONALES
Todas las operaciones de tratamiento tendrán una base legal que legitime su realización. Synvia podrá realizar el tratamiento de datos personales:
Mediante el suministro de consentimiento por parte del titular;
Para el cumplimiento de obligación legal o regulatoria;
Para la realización de estudios por órgano de investigación;
Cuando sea necesario para la ejecución de contrato o procedimientos preliminares;
Para el ejercicio regular de derechos en proceso judicial, administrativo o arbitral;
Para la protección de la vida o de la integridad física del titular o de tercero;
Para la tutela de la salud (en procedimiento realizado por profesionales de la salud/autoridad sanitaria);
Cuando sea necesario para atender a los intereses legítimos de Synvia o de terceros;
Para la protección del crédito.
Synvia realizará registros de sus operaciones de tratamiento, que podrán ser consultados por el titular de los datos y autoridades públicas competentes.
7. BASES LEGALES PARA EL TRATAMIENTO DE DATOS SENSIBLES
Synvia asume el compromiso de salvaguarda y cuidados especiales frente al tratamiento de datos personales sensibles y datos financieros. Datos de niños y adolescentes serán tratados con el mismo nivel de cuidado.
El tratamiento de datos sensibles solo podrá ser realizado:
Con consentimiento: Cuando el titular o responsable legal consienta, de forma específica y destacada.
Sin consentimiento: En los casos en que sea indispensable para:
Cumplimiento de obligación legal o regulatoria;
Realización de estudios (garantizando la anonimización siempre que sea posible);
Ejercicio regular de derechos (contrato, proceso judicial, administrativo, arbitral);
Protección de la vida o de la integridad física;
Tutela de la salud;
Garantía de la prevención del fraude y la seguridad del titular (identificación y autenticación en sistemas).
8. DERECHOS DE LOS TITULARES DE DATOS PERSONALES
Synvia refuerza su compromiso de respeto a los derechos de los titulares:
DERECHO A LA CONFIRMACIÓN: Confirmar la existencia de tratamiento de sus datos.
DERECHO DE ACCESO: Solicitar y recibir copia de los datos recopilados.
DERECHO DE CORRECCIÓN: Solicitar corrección de datos incompletos, inexactos o desactualizados.
DERECHO DE ELIMINACIÓN: Solicitar la exclusión de datos (salvo si hay motivo legítimo para su mantenimiento).
DERECHO DE SUSPENSIÓN DE TRATAMIENTO ILÍCITO: Solicitar anonimización, bloqueo o eliminación de datos innecesarios o excesivos.
DERECHO DE OPOSICIÓN: Oponerse a tratamiento no basado en el consentimiento (analizado conforme a criterios de la LGPD).
DERECHO A LA PORTABILIDAD: Solicitar la disponibilidad de los datos a otro proveedor.
DERECHO A LA REVOCACIÓN DEL CONSENTIMIENTO: Revocar el consentimiento previamente dado (sin afectar la legalidad del tratamiento anterior).
9. DEBERES PARA EL USO ADECUADO DE DATOS PERSONALES
Deberes de los Titulares
Comunicar a Synvia cualquier modificación en sus datos personales (ej: cambio de dirección).
Notificar a través del correo electrónico: protecaodedados@synvia.com.
Deberes de los Empleados de Synvia
El intercambio de datos entre empresas del Grupo Synvia está permitido solo si se respeta la finalidad, base legal y principio de necesidad.
No disponibilizar acceso a datos para personas no autorizadas.
Obtener la autorización necesaria y documentos que demuestren la competencia para el tratamiento.
Cumplir con normas de seguridad de la información.
Deberes de Todos los Destinatarios
Contactar al Encargado de Synvia en caso de sospecha u ocurrencia de:
Operación sin base legal;
Tratamiento sin autorización;
Desconformidad con la Política de Seguridad de la Información;
Eliminación/destrucción no autorizada de datos;
Cualquier otra violación de esta Política.
10. RELACIÓN CON TERCEROS
Considerando la responsabilidad solidaria prevista en la LGPD, Synvia empleará los mejores esfuerzos para garantizar que terceros cumplan con las legislaciones aplicables.
Todos los contratos con terceros deberán contener cláusulas referentes a la protección de datos personales, siendo revisados y sometidos a aprobación del encargado y equipo técnico.
11. SEGURIDAD DE LA INFORMACIÓN
Las normas de seguridad están contenidas en la Política de Seguridad de la Información de Synvia. La organización se compromete a emplear medidas técnicas y organizacionales adecuadas para proteger los datos contra accesos no autorizados, pérdida, destrucción y compartición indebida.
12. TRANSFERENCIA INTERNACIONAL DE DATOS
Synvia podrá transferir datos a otros países en las siguientes condiciones:
Sin consentimiento (cuando se autoriza a tratar datos por otra base legal):
País con nivel adecuado de protección (por la ANPD o decisión de Adecuación de la Comisión Europea/GDPR); o
Ofrecimiento de salvaguardas (Códigos de Conducta, Cláusulas Contractuales Estándar, Sellos/Certificados).
Con consentimiento:
Obtención de consentimiento explícito y destacado para la transferencia internacional.
Synvia informará a los titulares sobre la ocurrencia de transferencias internacionales, designando el conjunto de datos, la finalidad y el destino.
13. MONITOREO Y ACTUALIZACIÓN
Synvia asume el compromiso de revisar la presente Política periódicamente. Todas las modificaciones realizadas serán comunicadas oportunamente por los canales oficiales de la Organización.
Lista de Procedimientos Operativos
Estándar (POPs)