Ultimo aggiornamento: 2 giugno 2021
Come piattaforma globale utilizzata dagli utenti di tutto il mondo per impegnarsi in attività di ricerca, borse di studio e innovazione, ORCID si impegna ad affrontare i cambiamenti nei requisiti di privacy e sicurezza che hanno un impatto sui suoi utenti.
Il 15 luglio 2020, la Corte di giustizia europea ("CGCE"), la più alta corte dell'ordinamento giuridico dell'UE, ha emesso la Schrem II, invalidando lo Scudo per la privacy UE-USA come lecito ai sensi del Regolamento generale sulla protezione dei dati ("GDPR") dell'UE e ha sostenuto l'uso continuato delle clausole contrattuali standard (SCC) per trasferire dati a un paese terzo. Vedere Facebook Ireland e Schrems, causa C-311/18 (pendente presso la Corte di giustizia dell'Unione europea (“CGUE”) [di seguito “Schrem II“]. Nella sua decisione, la Corte di giustizia ha espresso dubbi sul fatto che i dati personali trasferiti dall'UE agli Stati Uniti mantengano un'adeguata protezione una volta archiviati negli Stati Uniti. Alla luce di questa decisione, ORCID incaricato un consulente esterno per condurre una revisione dell'impatto di Schrem II sulle sue operazioni commerciali. Di seguito sono riportate ulteriori informazioni riguardanti ORCIDdi continuare a trasferire dati transfrontalieri dall'UE agli USA.
Le normative ORCID trasferire attualmente dati personali dall'UE agli USA?
Sì, ORCID trasferisce dati personali dall'UE agli Stati Uniti come parte della propria infrastruttura di rete. Il software del registro live è ospitato su server situati negli Stati Uniti.
ORCID si basa su due meccanismi per trasferire i dati personali ai sensi del GDPR. Primo, ORCID ottiene il consenso dei propri utenti al momento della registrazione al trasferimento dei dati personali dall'UE agli USA. Secondo, ORCID stipula le clausole contrattuali standard (SCC) con le organizzazioni membri, se necessario.
ORCID è lieta di stipulare le clausole contrattuali standard con qualsiasi membro situato nell'UE, nel SEE o nel Regno Unito che trasferisce dati personali a ORCID utilizzando l'API membro. Per favore, contatta il tuo ORCID contatto del team di incarico per discutere l'aggiunta delle clausole contrattuali standard al contratto di adesione.
Sì, ORCID mantiene una serie di documenti sul suo sito Web relativi alle sue pratiche sulla privacy e sulla sicurezza. Tali documenti includono:
Politica sulla Privacy ORCID
ORCID Fiducia – ORCID
ORCID, GDPR e i tuoi diritti di utente
ORCID Lettera di attestazione TRUSTe
Sì, oltre alle garanzie discusse sopra, ORCID incorpora le seguenti misure supplementari per affrontare la protezione dei dati.
Controllo dell'interessato. Agli utenti viene fornita un'elevata quantità di trasparenza e controllo relativo alle informazioni condivise con ORCID e altri utenti o organizzazioni membri. ORCID ha intrapreso azioni per ridurre al minimo la quantità di dati personali necessari per stabilire un ORCID record, richiedendo solo un nome e un indirizzo e-mail. Inoltre, ORCID chiarisce che i suoi strumenti e servizi forniscono agli utenti il controllo sulla registrazione, su cosa è connesso a un iD e su chi può accedere alle informazioni dell'utente.
Contratti di elaborazione di terze parti. ORCID stipula accordi con i suoi responsabili del trattamento che incorporano disposizioni sulla privacy e sulla sicurezza dei dati. Prima di stipulare accordi con i responsabili del trattamento, ORCID conduce una due diligence che affronta le componenti di privacy e sicurezza. Per condurre questa due diligence, ORCID in primo luogo determina se il fornitore di terze parti avrà accesso e/o riceverà copie di qualsiasi dato personale. Se la risposta è sì, allora ORCID procede con la negoziazione di un accordo sul trattamento dei dati che si allinei con i requisiti del GDPR e con qualsiasi altro requisito di protezione dei dati applicabile.
Crittografia dei dati. ORCID implementa misure di crittografia ragionevoli per tutti i dati a riposo e in transito. Inoltre, tutti i backup sono crittografati.¬¨‚
Misure tecniche e organizzative. ORCID implementa una serie di controlli di sicurezza per supportare la gestione sicura dei suoi database e della sua infrastruttura. Questi controlli di sicurezza includono la gestione delle patch di sicurezza; monitoraggio dell'accesso al sistema; registrazione degli audit; controllo di accesso; e modificare i meccanismi di controllo. Inoltre, ORCID mantiene un piano di risposta agli incidenti, nonché un processo di ripristino di emergenza e dati.
Sì, ORCID chiarisce agli utenti che nel caso in cui riceva una richiesta di dati governativa, fornirà "solo i dati che riterremo necessari nella situazione". Vedere Informativa sulla privacy, Sez. 6.4. Ulteriore ORCID chiarisce che, se consentito, "fornirà tempestivamente informazioni su eventuali richieste di dati governative ricevute e account interessati ai titolari di record pertinenti".
Non è probabile che ORCID sarebbe soggetto alle richieste della legge sulla sorveglianza degli Stati Uniti evidenziate nella decisione Schrems II. Da ORCID non è un "fornitore di servizi di comunicazione elettronica" come definito nella Sezione 50 USC § 1881 (b) (4), non è soggetto al Foreign Intelligence Services Act ("FISA"). ORCID fornisce un registro online che viene utilizzato per identificare i ricercatori delle organizzazioni membri; in quanto tale, la Sezione 702 ai sensi della FISA non si applicherebbe a ORCID e i suoi dati.
Sì, ORCID non distingue tra utenti che si trovano nell'UE o al di fuori dell'UE.¬¨‚ Sebbene alcune regioni possano mantenere leggi sulla privacy diverse, ORCID si impegna a fornire protezione della privacy a tutti gli utenti in conformità con la sua Informativa sulla privacy, che si trova a https://info.orcid.org/privacy-policy/.