Última atualização: 2 de junho de 2021
Como uma plataforma global usada por usuários em todo o mundo para se envolver em atividades de pesquisa, bolsa de estudos e inovação, ORCID tem o compromisso de abordar as mudanças nos requisitos de privacidade e segurança que afetam seus usuários.
Em 15 de julho de 2020, o Tribunal de Justiça Europeu ("TJCE"), a mais alta corte dentro do sistema jurídico da UE, emitiu sua decisão em Schrems II, invalidando o Privacy Shield UE-EUA como legal de acordo com o Regulamento Geral de Proteção de Dados da UE ("GDPR") e sustentado o uso contínuo das Cláusulas Contratuais Padrão (SCCs) para transferir dados para um terceiro país. Ver Facebook Ireland e Schrems, Caso C-311/18 (pendente no Tribunal de Justiça da União Europeia (“TJEU”) [doravante “Schrems II”]. Na sua decisão, o TJCE manifestou preocupações quanto ao facto de os dados pessoais transferidos da UE para os EUA manterem proteção adequada uma vez armazenados nos EUA. À luz desta decisão, ORCID contratou um advogado externo para conduzir uma revisão do impacto de Schrems II em suas operações comerciais. Abaixo estão informações adicionais sobre ORCIDabordagem da continuação das transferências de dados transfronteiriços da UE para os EUA.
Será que ORCID atualmente transfere dados pessoais da UE para os EUA?
Sim, ORCID transfere dados pessoais da UE para os EUA como parte de sua infraestrutura de rede. O software de registro ativo é hospedado em servidores localizados nos Estados Unidos.
ORCID conta com dois mecanismos para transferir dados pessoais sob o GDPR. Primeiro, ORCID obtém o consentimento de seus usuários no momento do registro para a transferência de dados pessoais da UE para os EUA. Segundo, ORCID entra nas Cláusulas Contratuais Padrão (SCCs) com as organizações membros, conforme necessário.
ORCID tem o prazer de entrar nas Cláusulas Contratuais Padrão com qualquer membro localizado na UE, EEE ou Reino Unido que esteja transferindo dados pessoais para ORCID usando a API membro. Por favor, entre em contato com o seu ORCID contato da equipe de trabalho para discutir a adição das cláusulas contratuais padrão ao seu contrato de associação.
Sim, ORCID mantém uma série de documentos em seu site relacionados às suas práticas de privacidade e segurança. Esses documentos incluem:
Política de Privacidade - ORCID
ORCID Confiar - ORCID
ORCID, GDPR e seus direitos como usuário
ORCID Carta de Atestado TRUSTe
Sim, além das salvaguardas discutidas acima, ORCID incorpora as seguintes medidas suplementares para abordar a proteção de dados.
Controle de titulares de dados. Os usuários recebem uma grande transparência e controle em relação às informações compartilhadas com ORCID e outros usuários ou organizações membros. ORCID tomou medidas para minimizar a quantidade de dados pessoais necessários para estabelecer um ORCID registro, exigindo apenas um nome e endereço de e-mail. Além disso, ORCID deixa claro que suas ferramentas e serviços fornecem aos usuários controle sobre o registro, o que está conectado a um ID e quem pode acessar as informações do usuário.
Contratos de processador de terceiros. ORCID celebra acordos com seus processadores que incorporam cláusulas de privacidade e segurança de dados. Antes de entrar em acordos com os processadores, ORCID conduz a devida diligência que aborda os componentes de privacidade e segurança. Para realizar esta devida diligência, ORCID primeiro determina se o provedor terceirizado terá ou não acesso e / ou receberá cópias de quaisquer Dados Pessoais. Se a resposta for sim, então ORCID segue em frente com a negociação de um contrato de processamento de dados que se alinhe aos requisitos do GDPR e a quaisquer outros requisitos de proteção de dados aplicáveis.
Criptografia de dados. ORCID implementa medidas razoáveis de criptografia para todos os dados em repouso e em trânsito. Além disso, todos os backups são criptografados.¬¨‚
Medidas técnicas e organizacionais. ORCID implementa uma variedade de controles de segurança para oferecer suporte ao gerenciamento seguro de seus bancos de dados e infraestrutura. Esses controles de segurança incluem gerenciamento de patch de segurança; monitoramento de acesso ao sistema; registro de auditoria; controle de acesso; e mecanismos de controle de mudanças. Adicionalmente, ORCID mantém um plano de resposta a incidentes, bem como um processo de recuperação de desastres e dados.
Sim, ORCID deixa claro para os usuários que, no caso de receber qualquer solicitação de dados do governo, fornecerá "apenas os dados que considerarmos necessários na situação". Ver Política de privacidade, Seç. 6.4. Avançar ORCID deixa claro que, se permitido, “fornecerá prontamente informações sobre quaisquer solicitações de dados do governo recebidas e contas afetadas aos detentores de registros relevantes”.
Não é provável que ORCID estaria sujeito às solicitações da lei de vigilância dos EUA destacadas na decisão Schrems II. Desde a ORCID não é um “provedor de serviços de comunicação eletrônica” conforme definido na Seção 50 USC § 1881 (b) (4), não está sujeito à Lei de Serviços de Inteligência Estrangeira (“FISA”). ORCID fornece um registro online que é usado para identificar pesquisadores de organizações membros; como tal, a Seção 702 sob FISA não se aplicaria a ORCID e seus dados.
Sim, ORCID não faz distinção entre usuários localizados na UE ou fora da UE.¬¨‚ Embora certas regiões possam manter leis de privacidade diferentes, ORCID se esforça para fornecer proteção de privacidade a todos os usuários de acordo com sua Política de Privacidade, localizada em https://info.orcid.org/privacy-policy/.