Última actualización: 2 de junio de 2021
Como plataforma global utilizada por usuarios de todo el mundo para participar en actividades de investigación, becas e innovación, ORCID se compromete a abordar los cambios en los requisitos de privacidad y seguridad que afectan a sus usuarios.
El 15 de julio de 2020, el Tribunal de Justicia de la Unión Europea ("TJUE"), el tribunal más alto del sistema legal de la UE, emitió su decisión en Schrems II, invalidando el Escudo de Privacidad UE-EE. UU. como legal bajo el Reglamento General de Protección de Datos de la UE ("GDPR") y confirmó el uso continuo de las Cláusulas Contractuales Estándar (SCC) para transferir datos a un tercer país. Ver Facebook Irlanda y Schrems, asunto C-311/18 (pendiente en el Tribunal de Justicia de la Unión Europea (“TJUE”) [en adelante “Schrems II"]. En su decisión, el TJCE expresó su preocupación sobre si los datos personales transferidos de la UE a los EE. UU. Mantenían una protección adecuada una vez almacenados dentro de los EE. UU. A la luz de esta decisión, ORCID contrató a un abogado externo para realizar una revisión del impacto de Schrems II en sus operaciones comerciales. A continuación se muestra información adicional sobre ORCIDEl enfoque de las transferencias de datos transfronterizas continuas de la UE a los EE. UU.
Does ORCID transfiere actualmente datos personales de la UE a los EE. UU.?
Sí, ORCID transfiere datos personales de la UE a los EE. UU. como parte de su infraestructura de red. El software de registro en vivo está alojado en servidores ubicados dentro de los EE. UU.
ORCID se basa en dos mecanismos para transferir datos personales en virtud del RGPD. Primero, ORCID obtiene el consentimiento de sus usuarios en el momento del registro para la transferencia de datos personales de la UE a EE. UU. Segundo, ORCID entra en las Cláusulas Contractuales Estándar (CEC) con las organizaciones miembros según sea necesario.
ORCID se complace en suscribir las Cláusulas Contractuales Estándar con cualquier miembro ubicado en la UE, EEE o Reino Unido que esté transfiriendo datos personales a ORCID utilizando la API miembro. Comuníquese con su ORCID Póngase en contacto con el equipo del encargo para analizar la incorporación de las Cláusulas contractuales estándar a su acuerdo de membresía.
Sí, ORCID mantiene una serie de documentos en su sitio web relacionados con sus prácticas de privacidad y seguridad. Esos documentos incluyen:
Política de privacidad - ORCID
ORCID Confianza - ORCID
ORCID, GDPR y sus derechos como usuario
ORCID Carta de certificación TRUSTe
Sí, además de las salvaguardas discutidas anteriormente, ORCID incorpora las siguientes medidas complementarias para abordar la protección de datos.
Control del sujeto de datos. Los usuarios cuentan con una gran cantidad de transparencia y control relacionados con la información compartida con ORCID y otros usuarios u organizaciones miembros. ORCID ha tomado medidas para minimizar la cantidad de datos personales necesarios para establecer una ORCID registro, que solo requiere un nombre y una dirección de correo electrónico. Además, ORCID deja en claro que sus herramientas y servicios brindan a los usuarios control sobre el registro, lo que está conectado a un iD y quién puede acceder a la información del usuario.
Acuerdos de procesador de terceros. ORCID celebra acuerdos con sus procesadores que incorporan disposiciones de seguridad y privacidad de los datos. Antes de celebrar acuerdos con procesadores, ORCID lleva a cabo la debida diligencia que aborda los componentes de privacidad y seguridad. Para llevar a cabo esta diligencia debida, ORCID primero determina si el proveedor externo tendrá acceso y / o recibirá copias de los Datos personales. Si la respuesta es sí, entonces ORCID avanza en la negociación de un acuerdo de procesamiento de datos que se alinea con los requisitos del RGPD y cualquier otro requisito de protección de datos aplicable.
Cifrado de datos. ORCID implementa medidas de cifrado razonables para todos los datos en reposo y en tránsito. Además, todas las copias de seguridad están encriptadas.¬¨‚
Medidas técnicas y organizativas. ORCID implementa una variedad de controles de seguridad para respaldar la administración segura de sus bases de datos e infraestructura. Estos controles de seguridad incluyen la administración de parches de seguridad; monitoreo de acceso al sistema; registro de auditoría; control de acceso; y mecanismos de control de cambios. Adicionalmente, ORCID mantiene un plan de respuesta a incidentes, así como un proceso de recuperación de datos y desastres.
Sí, ORCID deja en claro a los usuarios que, en caso de que reciba alguna solicitud de datos del gobierno, proporcionará "solo los datos que consideremos necesarios en la situación". Ver Política de privacidad, Sec. 6.4. Más ORCID deja en claro que, si se permite, "proporcionará rápidamente información sobre cualquier solicitud de datos del gobierno recibida y las cuentas afectadas a los titulares de registros relevantes".
No es probable que ORCID estaría sujeto a las solicitudes de la ley de vigilancia de EE. UU. destacadas en la decisión Schrems II. Desde ORCID no es un “proveedor de servicios de comunicaciones electrónicas” como se define en la Sección 50 USC § 1881 (b) (4), no está sujeto a la Ley de Servicios de Inteligencia Extranjera (“FISA”). ORCID proporciona un registro en línea que se utiliza para identificar a los investigadores de las organizaciones miembros; como tal, la Sección 702 de FISA no se aplicaría a ORCID y sus datos.
Sí, ORCID no distingue entre usuarios ubicados en la UE o fuera de la UE. ¬¨‚ Si bien ciertas regiones pueden tener diferentes leyes de privacidad, ORCID se esfuerza por brindar protección de privacidad a todos los usuarios de acuerdo con su Política de privacidad, ubicada en https://info.orcid.org/privacy-policy/.