Código de Conducta Para la Protección de Datos Personales

Transcripción

1 Meridian PDP Río Negro 1370 OF Montevideo, Uruguay phone Código de Conducta Para la Protección de Datos Personales Versión 2 Código de Conducta para garan0zar el respeto a la protección de datos personales, la privacidad y la autodeterminación informa0va de sus 0tulares.

2 ! 2 ÍNDICE PREÁMBULO 2 TÍTULO I 2 DISPOSICIONES GENERALES TÍTULO II 3 7 PRINCIPIOS DE PROTECCIÓN Y DERECHOS DE LAS PERSONAS 7 TÍTULO III GESTIÓN Y TRATAMIENTO DE LAS BASES DE DATOS CONTENIENDO DATOS PERSONALES TÍTULO IV OTORGAMIENTO Y OBTENCIÓN DE SELLO DE CALIDAD MERIDIAN PDP 18 ANEXO I 21 ANEXO II ANEXO III ANEXO IV FORMULARIO PARA RECABAR EL CONSENTIMIENTO DEL TITULAR DE DATOS PERSONALES YA INCORPORADOS EN UNA BASE DE DATOS DE PREVIA EXISTENCIA 24

3 ! 3 PREÁMBULO El uso de los medios electrónicos, informáticos y telemáticos así como la familiarización con las tecnologías de la información y comunicación supone unos beneficios evidentes para los ciudadanos, aunque también incrementa el riesgo de vulnerabilidad de los datos almacenados que debe minimizarse con la adopción de medidas de seguridad que generen confianza en las personas afectadas y en los propios usuarios de las aplicaciones. A tal efecto, la Constitución de la República Oriental del Uruguay y la Ley de 11 de agosto de 2008 (en adelante LPDP) establecen el derecho fundamental a la protección de datos personales, la privacidad y la autodeterminación informativa. Este es un instrumento normativo que fomenta las buenas prácticas de comportamientos éticos, morales y costumbres de las personas, empresas e instituciones, en su ámbito personal, profesional y social de acuerdo a su responsabilidad de trabajo y competencias otorgadas de conformidad con las leyes aplicables, en relación a la aplicación de las tecnologías de la información y comunicación, garantizando así el correcto uso de las mismas, mejorando el desempeño en todos sus aspectos. Bajo un manto de seguridad jurídica y mayor transparencia, esta herramienta permitirá a los ciudadanos, aumentar la confianza en las normas que regulan la protección de los datos personales. De forma voluntaria, la Ley sobre Protección de Datos y Habeas Data (LPDP), permite la adopción de Códigos de Buenas Prácticas que establezcan las condiciones de organización, régimen de funcionamiento, procedimientos aplicables, normas de seguridad del entorno, programas o equipos, obligaciones de los implicados en el tratamiento y uso de la información personal, así como las garantías, en su ámbito, para el ejercicio de los derechos de las personas con pleno respeto a los principios y disposiciones de la Ley y sus normas de desarrollo, tal como se expresa en el artículo 36 permite adoptar códigos de conducta. Este instrumento de autorregulación es la mejor herramienta para conseguir un triple objetivo: primero, cumplir de la forma más sencilla y segura con la legislación correspondiente a través de un documento único que reúna todos los elementos esenciales; segundo, aumentar la protección de los datos personales almacenados en ficheros incrementando las medidas de seguridad legalmente exigidas, y tercero, servir como material educativo para la comunidad universitaria, con especial interés en los estudiantes, contribuyendo al conocimiento correcto de este derecho fundamental a la protección de datos personales y sea utilizado en otros ámbitos y en su posterior vida profesional.

4 ! 4 TÍTULO I DISPOSICIONES GENERALES Artículo 1. Objeto. Este código de conducta tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. A tales efectos, la presente herramienta respetará en todos sus términos la Ley y sus decretos reglamentarios, así como las recomendaciones que en su caso realice la Unidad Reguladora y de Control de Datos Personales (URCDP). Artículo 2. Ámbito de aplicación. 1. El presente código de conducta será de aplicación a los datos de carácter personal que figuren registrados en soportes físicos y digitales de la empresa Meridian PDP, que los hagan susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos. 2. El texto completo de este código de conducta se puede obtener en la dirección de Internet 3. La adopción del presente código implica la inscripción previa de las bases de datos y ficheros de la entidad en la Unidad Reguladora y de Control de Datos Personales (URCDP), verificable a través de la dirección de Internet Artículo 3. Definiciones. 1. A los efectos del presente código de conducta se entenderá por: a) Afectado, titular de los datos o interesado: persona física cuyos datos sean objeto de tratamiento. b) Supresión o Cancelación: procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación o supresión implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la eliminación de los datos. c) Cesión o comunicación de datos: tratamiento de los datos que supone su revelación a una persona distinta del interesado. d) Previo consentimiento del titular: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la cual el interesado consiente previamente el tratamiento de datos personales que le conciernen.

5 ! 5 e) Dato disasociado: aquél que no permite la identificación de un afectado o interesado. f) Datos de carácter personal: cualquier información numérica, alfabética, simbólica, gráfica, fotográfica, acústica, sonora o de cualquier otro tipo concerniente a personas físicas o jurídicas identificadas o identificables. g) Datos de carácter personal relacionados con la salud: las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En especial, se hace referencia a la historia clínica de un titular. h) Destinatario o cesionario: la persona física o jurídica pública o privada u órgano administrativo, al que se revelen los datos. Podrán ser también destinatarios los entes sin personería jurídica que actúen en el tráfico. i) Encargado del tratamiento: la persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta de Meridian PDP, como consecuencia de la existencia de una relación jurídica que le vincula con la compañía y delimita el ámbito de su actuación para la prestación de un servicio. j) Base de datos: todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuera la forma o modalidad de su creación, almacenamiento, organización y acceso. k) Persona identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados. l) Procedimiento de disociación: todo tratamiento de datos personales de manera que la información obtenida no pueda vincularse a persona determinada o determinable. m) Responsable de la base de datos o del tratamiento: persona de la compañía que por delegación del sus directores o propietarios realiza las tareas tales como decidir sobre la finalidad, contenido y uso del tratamiento. n) Tercero: persona física o jurídica, pública o privada u órgano administrativo distinto del afectado o interesado, de Meridian PDP, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa de Meridian PDP o del encargado del tratamiento. Podrán ser también terceros, las entidades sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados. ñ) Transferencia internacional de datos: tratamiento de datos que supone una transmisión de los mismos fuera del territorio de la República Oriental del Uruguay, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta de Meridian PDP.

6 ! 6 o) Tratamiento de datos: cualquier operación o procedimiento de carácter automatizado o no, que permita el procesamiento de datos personales, así como también realizar consultas, interconexiones o transferencias, grabación, conservación, elaboración, utilización, modificación, cancelación, bloqueo o supresión, su cesión a terceros a través de comunicaciones, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. 2. En particular, en relación con lo dispuesto en el título III de este código de conducta se entenderá por: a) Accesos autorizados: autorizaciones concedidas a un usuario para la utilización de los diversos recursos. En su caso, incluirán las autorizaciones o funciones que tenga atribuidas un usuario por delegación del responsable interno de la base de datos o tratamiento o del responsable de seguridad. b) Autenticación: procedimiento de comprobación de la identidad de un usuario o en el acceso a un recurso. c) Contraseña: información confidencial, frecuentemente constituida por una cadena de caracteres que puede ser usada en la autenticación de un usuario. d) Control de acceso: mecanismo que en función de la identificación ya autenticada permite acceder a datos o recursos. e) Copia de respaldo: copia de los datos de una base de datos automatizada en un soporte que posibilite su recuperación. f) Documento: todo escrito, gráfico, sonido, imagen o cualquier otra clase de información que puede ser tratada en un sistema de información como una unidad diferenciada. g) Bases de datos temporales: bases de datos de trabajo creados por usuarios o procesos que son necesarios para un tratamiento ocasional o como paso intermedio durante la realización de un tratamiento. h) Identificación: procedimiento de reconocimiento de la identidad de un usuario. i) Incidencia: cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos. j) Perfil de usuario: accesos autorizados a un grupo de usuarios. k) Recurso: cualquier parte componente de un sistema de información. l) Responsable de seguridad: persona o personas a las que el responsable de la base de datos ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. m) Sistema de información: conjunto de bases de datos, tratamientos, programas, soportes y equipos empleados para el almacenamiento y tratamiento de datos de carácter personal.

7 ! 7 n) Soporte: objeto físico o que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar y recuperar datos. ñ) Transmisión de documentos: cualquier traslado, comunicación, envío, entrega o divulgación de la información contenida en el mismo. o) Usuario: sujeto o proceso autorizado para acceder a datos o recursos. Tendrán la consideración de usuarios los procesos que permitan acceder a datos o recursos sin identificación de un usuario físico. Artículo 4. Cómputo de plazos. En los supuestos en que este código señale un plazo por días se computarán únicamente los hábiles. Cuando el plazo sea mayor a quince días, los plazos se computarán en días hábiles e inhábiles, sin perjuicio de lo que dispongan las normas relacionadas al caso.

8 ! 8 TÍTULO II PRINCIPIOS DE PROTECCIÓN Y DERECHOS DE LAS PERSONAS Artículo 5. Finalidad de los datos. 1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. Dichos datos serán tratados de forma leal y lícita. 2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos. 3. Los datos serán eliminados cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubieren sido recolectados Artículo 6. Exactitud de los datos. 1. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado. Si los datos fueran recogidos directamente del afectado, se considerarán exactos los facilitados por éste. 2. Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán suprimidos y sustituidos de oficio por los correspondientes datos rectificados, o completados los mismos, en el plazo de cinco días hábiles desde que se tuviese conocimiento de la inexactitud, salvo que la norma aplicable a la base de datos establezca un procedimiento o un plazo específico para ello. 3. Cuando los datos hubieran sido comunicados previamente, Meridian PDP notificará al cesionario en el plazo de cinco días hábiles, la rectificación o cancelación efectuada. En el plazo de cinco días hábiles desde la recepción de la notificación, el cesionario que mantuviera el tratamiento de los datos, deberá proceder a la rectificación y supresión notificada. Esta actualización de los datos de carácter personal no requerirá comunicación alguna al interesado, sin perjuicio del ejercicio de los derechos por parte de los titulares o interesados reconocidos en la Ley y decretos reglamentarios. Artículo 7. Verificación de datos en solicitudes formuladas a la Administración Pública. Cuando se formulen solicitudes por medios electrónicos en las que el interesado declare datos personales que obren en poder de la Administración Pública, Meridian PDP podrá efectuar en el ejercicio de sus competencias, las verificaciones necesarias para comprobar la autenticidad de los datos.

9 ! 9 Artículo 8. Supresión de los datos. 1. Los datos de carácter personal serán necesarios o pertinentes para la finalidad para lo que fueron registrados. Los mismos serán suprimidos cuando hayan dejado de ser pertinentes para la cual hubieran sido recabados o correspondiere de acuerdo a lo establecido por la LPDP, artículo 15. No obstante, podrán conservarse durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica o de la ejecución de un contrato o de la aplicación de medidas precontractuales solicitadas por el interesado. 2. Los datos de carácter personal serán tratados de forma que permitan el ejercicio del derecho de acceso, en tanto no proceda su supresión. Artículo 9. Información en la recolección de datos. 1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: a. De la existencia de una base de datos o tratamiento de datos de carácter personal, de la finalidad de la recolección de éstos y de los destinatarios de la información así como el origen de los datos, indicando el colectivo de personas sobre los que se pretende obtener d a t o s d e c a r á c t e r p e r s o n a l o q u e r e s u l t e n o b l i g a d o s a suministrarlos, el procedimiento de recolección de los datos y su procedencia. b. Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. c. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. d. De la posibilidad de ejercitar los derechos de acceso, rectificación, actualización, inclusión supresión y oposición. e. De la identidad y dirección del responsable del tratamiento. f. La estructura básica de la base de datos mediante la descripción detallada de los datos identificativos, y en su caso, de los datos especialmente protegidos, así como de las restantes categorías de datos de carácter personal incluidas en el mismo y el sistema de tratamiento utilizado en su organización. g. La designación de Meridian PDP como responsable de la base de datos. h. La posibilidad de cesión de datos y bajo qué términos i. Medidas de seguridad adoptadas para el tratamiento de los datos personales y el respeto por los derechos fundamentales del titular. j. La destrucción de los datos una vez culminado el objeto que relaciona al titular con Meridian PDP.

10 ! Aunque los datos personales fueran obtenidos de bases de tratamiento públicas y no existiera necesidad por ley de la notificación de la posibilidad de ejercer los derechos mencionados en el numeral anterior, literal d, Meridian PDP igual informará de la posibilidad de ejercer los mencionados derechos. 3. Esta información en la recolección de datos personales sólo es necesaria cuando los mismos vayan a formar parte de una base de datos de Meridian PDP pero dado que el interesado puede tener dudas cuando se le solicitan datos personales acerca de si estos van a formar parte de alguna base de datos para su tratamiento, la entidad informará siempre de la finalidad de los datos cuando éstos sean recogidos a través de un formulario, especificando si van a formar parte o no del alguna base de datos de Meridian PDP. 4. Con el fin de llevar el derecho de información a su máxima expresión, la entidad informará de la existencia de este código de conducta cuando recoja datos personales a través de formularios, indicando su ubicación en Internet en la web de Meridian PDP, para su consulta, y se tendrá a su disposición una copia gratuita del mismo. 5. Cuando los datos de carácter personal no hayan sido recabados del interesado gracias a éste, el mismo deberá ser informado de forma expresa, precisa e inequívoca por Meridian PDP dentro de los dos meses siguientes al momento de registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, de la posibilidad de ejercitar los derechos de acceso, rectificación, supresión, inclusión e impugnación, y de la identidad y dirección del responsable del tratamiento. Artículo 10. Consentimiento del titular. 1. El tratamiento de los datos de carácter personal requerirá el previo consentimiento inequívoco y expreso del interesado, salvo que la ley disponga otra cosa. 2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de la entidad en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación contractual, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos de la LPDP o la Constitución de la República Oriental del Uruguay, o cuando los datos figuren en fuentes accesibles al público, de acuerdo a lo establecido en las normas mencionadas, y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por la entidad siempre que no se vulneren los derechos y libertades fundamentales del titular. 3. El consentimiento podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos. 4. En los casos en los que no sea necesario el consentimiento del titular para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse e impugnar su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, Meridian PDP excluirá del tratamiento los datos

11 ! 11 relativos al afectado en el plazo de cinco días hábiles desde que tomó conocimiento de dicha oposición. 5. Respecto a los datos personales relativos a la salud así como demás datos sensibles, Meridian PDP no tratará los mismos al considerarse datos especialmente protegidos por la Constitución y la Ley , artículo 18 y relacionados. 6. Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Cuando en relación con estos datos se proceda a recabar el consentimiento, se advertirá al interesado acerca de su derecho a no prestarlo. 7. En la recopilación de domicilios, reparto de documentos, publicidad, prospección comercial, venta u otras actividades análogas, Meridian PDP podrá tratar datos que sean aptos para establecer perfiles determinados con fines promocionales, comerciales o publicitarios, o permitan establecer hábitos de consumo, cuando éstos figuren en documentos accesibles al público o hayan sido facilitados por los propios titulares u obtenidos con su consentimiento. 8. Cláusula de Consentimiento Informado. Meridian PDP se compromete a comunicar al titular de los datos personales que serán objeto de recolección y tratamiento, con la siguiente cláusula: "De conformidad con la Ley N , de 11 de agosto de 2008, de Protección de Datos Personales y Acción de Habeas Data (LPDP), los datos suministrados por usted quedarán incorporados en una base de datos, la cual será procesada exclusivamente para la siguiente finalidad: [FINALIDAD]. Los datos personales serán tratados con el grado de protección adecuado, adoptándose las medidas de seguridad necesarias para evitar su alteración, pérdida, tratamiento o acceso no autorizado por parte de terceros que lo puedan utilizar para finalidades distintas para las que han sido solicitadas al usuario. El responsable de la base de datos es [EMPRESA] y la dirección donde podrá ejercer los derechos de acceso, rectificación, actualización, inclusión o supresión, es [Dirección], según lo establecido en la LPDP". Artículo 11. Deber de secreto. 1. Toda persona que intervenga en cualquier fase del tratamiento de los datos de carácter personal está obligado al secreto profesional respecto de los mismos y al deber de guardarlos. Estas obligaciones subsistirán aun después de finalizar sus relaciones con Meridian PDP. 2. El incumplimiento del deber de secreto será sancionado de conformidad con lo previsto en la legislación vigente. Artículo 12. Comunicación de datos. 1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento expreso del titular o cuando lo disponga la legislación vigente. 2. La comunicación internacional de datos solamente será posible si se cumplen los presupuestos establecidos en el artículo 23 de la Ley

12 ! Aquél a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones establecidas por la URCDP y en la Ley No se considerará comunicación de datos, el acceso de un tercero a los mismos, cuando dicho acceso sea necesario para la prestación de un servicio a Meridian PDP. 6. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones de la entidad, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el caso de incumplimiento de las estipulaciones establecidas, el encargado del tratamiento será considerado, también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente. En el contrato se estipularán, asimismo, las medidas de seguridad que el encargado del tratamiento estará obligado a implementar. Artículo 13. Uso de Tecnologías 1. El uso de tecnologías de información y comunicación (TIC) que permitan a Meridian PDP cumplir de una forma más eficaz y eficiente sus objetivos serán utilizadas de acuerdo a lo establecido en la LPDP y en concordancia con la protección de los datos. Artículo 14. Comunicación de datos con fines de investigación. 1. La comunicación de datos o su uso interno con fines de investigación sólo se producirá si está autorizada en una ley o se ha utilizado un procedimiento de disociación. Artículo 15. Meridian PDP como encargada del tratamiento de datos de otras entidades. 1. En el tratamiento de datos de otras instituciones y entidades tanto dependientes de Meridian PDP como ajenas, se aplicará este código de conducta en su tratamiento interno así como las medidas de seguridad acordadas con esa entidad. Artículo 16. Tratamiento de datos por cuenta de un tercero. 1. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones de Meridian PDP y que no los aplicará o utilizará con un fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, otras personas. En el caso de incumplimiento de las estipulaciones establecidas, el encargado del tratamiento será considerado, también responsable del

13 ! 13 tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente. En el contrato se estipularán, asimismo, las medidas de seguridad que el encargado del tratamiento está obligado a implementar. 2. Si el encargado de tratamiento necesita para la prestación de un servicio a Meridian PDP subcontratar con un tercero parte del tratamiento deberá contar con autorización previa escrita de la entidad. Esta autorización puede estar contemplada en el contrato del servicio con el encargado de tratamiento o ser formalizada posteriormente pero siempre antes de realizar la subcontratación. En cualquier caso, el subcontratista tendrá las obligaciones de encargado de tratamiento y seguirá las instrucciones de Meridian PDP para ese tratamiento así como el cumplimiento de las disposiciones legales correspondientes. 3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos a Meridian PDP, al igual que cualquier soporte o documento en que conste algún dato de carácter personal objeto del tratamiento. No procederá la destrucción de los datos cuando exista una disposición legal que exija su conservación, en cuyo caso deberá procederse a la devolución de los mismos. 4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente. Artículo 17. Derechos de los titulares 1. Los Derechos de acceso, rectificación, actualización, inclusión o supresión, así como a la impugnación de valoraciones personales, son personalísimos y se ejercerán ante Meridian PDP de acuerdo a lo que establecen los artículos 14, 15 y 16 de la LPDP. A tales efectos, en la dirección Web se encuentran disponibles los modelos de ejercicio de cada uno de los mencionados derechos. 2. Derecho de Acceso: El titular tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen d e d i c h o s d a t o s, a s í c o m o l a s comunicaciones realizadas o que se prevén hacer de los mismos. La información podrá obtenerse mediante la mera consulta de los datos por medio de su visualización en pantalla, o la indicación de los datos que son objeto de tratamiento mediante escrito, copia, o fotocopia, certificada o no, correo electrónico o sistema de comunicación electrónica, o cualquier otro sistema que sea adecuado a la configuración o implantación material de la base de datos o la naturaleza del tratamiento, en forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos o electrónicos específicos. Meridian PDP resolverá sobre la solicitud de acceso en el plazo máximo de cinco días hábiles a contar desde la recepción de la solicitud. En el caso de que la entidad no disponga de datos de carácter personal de los afectados se le comunicará igualmente en el mismo plazo. El derecho de acceso a que se refiere este artículo sólo podrá ser ejercitado a intervalos no inferiores a seis meses, salvo que el interesado acredite un

14 ! 14 interés legítimo al efecto, en cuyo caso podrá ejercitarlo antes. Podrá denegarse el acceso en los supuestos en que así lo prevea una Ley o una norma cuando éstas impidan revelar a los interesados el tratamiento de los datos a los que se refiera el acceso. 3. Derecho de Inclusión, Rectificación, Actualización y de Supresión: Meridian PDP hará efectivo el derecho de inclusión, rectificación, actualización o supresión del titular en el plazo de cinco días. En el caso de que la entidad no disponga de datos de carácter personal de los afectados se lo comunicará igualmente en el mismo plazo. Serán rectificados los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la LPDP ni en los decretos reglamentarios y, en particular, cuando tales datos resulten inexactos o incompletos. Serán suprimidos los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la LPDP ni en los decretos reglamentarios y, en particular, cuando tales datos resulten inadecuados o excesivos. La supresión dará lugar al bloqueo de los datos y a su destrucción, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la destrucción. Podrán denegarse los derechos de rectificación o supresión en los supuestos en que así lo prevea una ley o una norma de o cuando éstas impidan revelar a los interesados el tratamiento de los datos a los que se refiera el acceso. Si los datos rectificados o suprimidos hubieran sido comunicados previamente, Meridian PDP deberá notificar la rectificación o supresión efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la supresión. Cuando el titular de los datos solicite la actualización de los mismos, bajo los términos expresados en el presente artículo, Meridian PDP procederá a su actualización en un plazo de cinco días hábiles. Asimismo, Cuando el titular de los datos solicite la inclusión de los mismos, bajo los términos expresados en el presente artículo, Meridian PDP procederá a su inclusión en un plazo de cinco días hábiles. TÍTULO III GESTIÓN Y TRATAMIENTO DE LAS BASES DE DATOS CONTENIENDO DATOS PERSONALES Artículo 18. Creación, actualización o supresión de bases de datos 1. Los directores de Meridian PDP serán los encargados de la creación, modificación o supresión de bases de datos. La compañía garantizará que la siguiente información sea tratada y recogida y así lo comunicará a los titulares de los datos personales objeto de tratamiento de acuerdo a lo expresado en el artículo 9 del presente código de conducta. 2. La adopción del presente código implica que esta compañía así como toda aquella que supere en su haber los 30 dependientes, deberá contratar un abogado especialista en la protección de datos personales a los efectos de que realice las tareas necesarias para que el responsable de la o las bases de datos cumpla con lo siguiente: 2.1. Que se cumpla con la ley y con todos los principios de la ley.

15 ! Informar a los titulares cuándo se les solicitan sus datos. Explicar para qué se les pide los datos Obtener el consentimiento previo de los titulares de los datos personales para poder tratarlos Inscribir la base de datos en la URCDP para que la misma sea legal En caso de que un titular invoque un derecho, se debe responder en un plazo de 5 días hábiles Adoptar las medidas de seguridad que protejan los datos de manipulación externa o de fuga de información. Artículo 19. Adopción de medidas de seguridad para el tratamiento de los datos personales 1. Meridian PDP adoptará un nivel alto en la recolección y tratamiento de los datos personales. Se entiende por nivel alto de protección, aquel que permite establecer medidas para garantizar la calidad y confiabilidad de los servicios, así como la integridad de los datos tratados, el objetivo de tratamiento de los mismos y el no acceso o filtración por parte de terceros no autorizados así como garantizar el no repudio de los mismos por parte de su titular. 2. Entre las medidas de seguridad, el presente código exige y reconoce como válidas aquellas que permitan la encriptación de archivos mediante criptografía avanzada que no permitan el crackeo y hackeo de dicha información y sí su acceso mediante clave o contraseña. A su vez, se recomienda el uso de Firma Electrónica Reconocida, de acuerdo a lo que establecido en la Ley sobre Documento Electrónico y Firma Electrónica. 3. Se designará un responsable de seguridad para el tratamiento de cada una de las bases de datos. 4. Las bases de datos temporales serán tratadas con las medidas de seguridad de nivel alto y serán destruidas una vez haya culminado el objeto para el cual fueron recogidos sus datos. Artículo 20. Documento de Seguridad. 1. Meridian PDP implantará la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos de carácter personal y a los sistemas de información. 2. El documento deberá contener y tratar, como mínimo, los siguientes aspectos: a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos. b) Medidas, normas, procedimientos de actuación, reglas y estándares destinados a garantizar el nivel de seguridad exigido en la normativa vigente y en este código de conducta. c) Funciones y obligaciones del personal.

16 ! 16 d) Estructura de las bases con datos de carácter personal y descripción de los sistemas de información que los tratan. e) Procedimiento de notificación, gestión y respuesta ante las incidencias. f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos. g) Controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento de seguridad. h) Medidas a adoptar para el transporte de soportes y documentos. i) Medidas a adoptar para la destrucción o reutilización de los documentos y soportes. 3. Cuando exista un tratamiento de datos por cuenta de terceros, el documento de seguridad deberá contener la identificación de los ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al contrato o documento que regule las condiciones del encargo, así como de la identificación del responsable y del período de vigencia del encargo. 4. El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en las bases de datos o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados. En todo caso, se entenderá que un cambio es relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas. 6. El contenido del documento de seguridad deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal. Artículo 21. Funciones de seguridad del personal. 1. Las funciones y obligaciones de cada una de los usuarios o perfiles de usuario con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y establecidas en el documento de seguridad. 2. El responsable de la base de datos adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento. 3. En los planes de formación del personal de la entidad, existirán los cursos o módulos apropiados para formar con el nivel adecuado en las normas de seguridad aplicables a las bases de datos según este código de conducta y la normativa vigente. Artículo 22. Identificación, autenticación y respaldos. El responsable interno la base de datos o su tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios.

17 ! Se establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo usuario que intente acceder al sistema de información, así como también su verificación de que está autorizado. 3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. 4. Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad, que en ningún caso será superior a seis meses, y mientras estén vigentes se almacenarán de forma ininteligible. 5. Se establecerá un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. 6. El uso de tratamiento de datos de carácter personal fuera de los locales de la ubicación de la base de datos deberá ser autorizada expresamente por el responsable interno de la misma y, en todo caso, deberá garantizarse el nivel de seguridad alto. 7. Se establecerán procedimientos de actuación para la realización como mínimo semanal de copias de respaldo, salvo que en dicho período no se hubiera producido ninguna actualización de los datos. Asimismo, se establecerán procedimientos para la recuperación de los datos que garanticen en todo momento su reconstrucción al estado en que se encontraban al tiempo de producirse la pérdida o destrucción. El responsable de la base de datos se encargará de verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos. 8. Deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar diferente de aquél en que se encuentren los equipos informáticos que los tratan cumpliendo en todo caso, las medidas de seguridad exigidas en este código de conducta o utilizando elementos que garanticen la integridad y recuperación de la información, de forma que sea posible su recuperación. Artículo 23. Registro de Incidencias y auditoría. 1. El procedimiento de notificación y gestión de incidencias contendrá necesariamente un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.

18 ! Se deberán consignar en este registro, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos han sido necesario grabar manualmente en el proceso de recuperación. 3. Será necesaria la autorización del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos. 4. Cada dos años, la entidad se someterá a controles externos de auditoría a los efectos de que verifique el cumplimiento del presente código de conducta y de los procedimientos e instrucciones vigentes en materia de seguridad de datos. Asimismo se realizarán auditorías extraordinarias, cuando la magnitud de las modificaciones en materia de tratamiento de los datos en poder de la entidad, así lo determine. Una vez concluida la auditoría, los informes quedarán en control de los directores de Meridian PDP quiénes los analizarán a los efectos de realizarse las mejoras que se estimen necesarias. Posteriormente, en un plazo de 30 días, se enviará una copia de los informes a la URCDP. 5. Cada año, Meridian PDP elaborará una memoria sobre la aplicación del presente código agregando las sugerencias y quejas que pudieran surgir de terceros. Se enviará una copia de la misma a la URCDP.

19 ! 19 TÍTULO IV OTORGAMIENTO Y OBTENCIÓN DE SELLO DE CALIDAD MERIDIAN PDP Artículo 24. Conceptos. 1. El Sello de Calidad Meridian PDP (llamado también Sello de Excelencia ) es un distintivo de confianza que Meridian PDP otorgará a aquellas personas, empresas y entidades que cumplan con todos los aspectos del presente código de conducta. 2. El sello de calidad consiste en un distintivo elaborado en una imagen que identifica a Meridian PDP y la relación de excelencia en calidad de protección de datos. 3. Junto con el sello, se otorgará una imagen representando un código de barras 2D (QR-CODE) conteniendo la información identificable del titular del sello de calidad y la fecha de otorgamiento así como su duración. El uso de este sistema asegura la lectura y decodificación de la información en la imagen mediante un scanner 2D. Meridian PDP guardará una copia de la misma y enviará una tercera copia a la URCDP. Artículo 25. Solicitud y Otorgamiento del Sello de Calidad Meridian PDP 1. Para el otorgamiento del sello de calidad, las personas o empresas deberán solicitarlo a Meridian PDP a través del contacto@meridianpdp.com. Una vez recibida la solicitud, Meridian PDP analizará el comportamiento y desempeño de la empresa o personas en el tratamiento de los datos personales, comparándolo con cada artículo del presente código de conducta, en un plazo breve y prudencial pero que garantice el correcto análisis. 2. Posteriormente, si la empresa o persona cumple al 100% con lo establecido en el presente código, Meridian PDP, en un plazo de diez días hábiles enviará por correo electrónico o por otro medio idóneo, los distintivos en formato electrónico a los efectos de que se proceda a su colocación en páginas Web de la propiedad de las personas o empresas, así como en toda aquella documentación y formatos digitales o físicos que se estime conveniente. 3. Meridian PDP comunicará a la URCDP en un plazo de cinco días hábiles, del otorgamiento de dicho sello de calidad. Artículo 26. Requisito Esencial. 1. Para hacer efectivo el otorgamiento del Sello de Calidad Meridian PDP, las personas o empresas que lo soliciten, deberán contar con un domicilio físico constituido dentro de los límites de la República Oriental del Uruguay. Se incluyen todas las denominadas Zonas Francas de creación legal con base en dicho país.

20 ! 20 Artículo 27. Plazos y Duración. 1. El Sello de Calidad Meridian PDP se otorga por un plazo de 2 años. Sin embargo, Meridian PDP auditará al otorgado cada tres meses, así cuando lo estime necesario, a los efectos de corroborar que se cumpla con lo establecido en el presente código de conducta, bajo apercibimiento de revocación inmediata. 2. En casos de producirse modificaciones o actualizaciones en el presente código de conducta que puedan afectar el cumplimiento del mismo, Meridian PDP comunicará de los mismos a todos sus clientes y asociados, a los efectos de que puedan adecuarse al mismo en un plazo de 90 días. Luego de ese plazo, se realizará una nueva auditoría con motivo de verificar si se cumple con el código actualizado. Artículo 28. Cese y revocación del sello de calidad. 1. En cualquier momento, la persona o empresa que ostenta el sello de calidad Meridian PDP podrá solicitar su baja, que se realizará de forma inmediata y se comunicará a la URCDP. 2. La revocación del permiso para el uso del distintivo de calidad tendrá lugar: a) Cuando Meridian PDP advierta que no se cumple con alguno de los requisitos establecidos en el presente código de conducta. b) A solicitud expresa de la URCDP con motivos fundados. c) Por la no renovación de acuerdo al artículo 24 por parte de la empresa o persona solicitante. d) Por denuncia o solicitud de cualquier persona, estableciendo los motivos y las pruebas necesarias para corroborar el no cumplimiento de lo establecido en el presente código. e) Por las disposiciones legales que así lo establezcan. 3. La revocación del permiso será comunicada en un plazo de diez días al involucrado y a la URCDP, justificando los motivos. Artículo 29. Disposiciones finales. 1. El presente código de conducta entra en vigor a los tres meses de realizado su registro en la URCDP o en AGESIC, según correspondiere. 2. A los efectos de facilitar la distribución y publicidad del presente código de instrumento, una copia estará disponible en Internet en la dirección establecida en el artículo 2 del presente documento. Las sugerencias, quejas y demás consultas referidas al mismo deberán enviarse al e- mail contacto@meridianpdp.com. 3. Los Anexos I, II, III y IV son partes integrantes del presente Código de Conducta, en un todo.

21 ! 21

22 ! 22 ANEXO I De acuerdo con lo dispuesto en la Ley sobre Protección de Datos Personales y Habeas Data, le informamos que sus datos pasan a formar parte de las bases de datos de Meridian PDP, cuya finalidad es brindar servicios de asesoría legal informática, controles y mejoras de la seguridad en el tratamiento de los datos personales así como cualquier actividad que involucre la mencionada ley a los efectos de cometer a las empresas y personas a su cumplimiento. Los usos de las bases de datos son a los efectos de cumplir con las tareas descritas en este apartado.

23 ! 23 ANEXO II En concordancia con el artículo 26 del presente código de conducta, la dirección física de Meridian PDP es Río Negro 1370 OF. 702, CP 11100, Montevideo, Uruguay. Los medios de contacto son: Teléfono: Celular: Web: Twitter: IamAndiSaravia

24 ! 24 ANEXO III La adopción del presente Código de Conducta implica el compromiso de actuar de buena fe en el cumplimiento y promoción de los siguientes Principios impulsados por la URCDP: Legalidad: Para que una base de datos sea legítima, deberá inscribirse en la URCDP y cumplir con los requisitos establecidos en la Ley. Veracidad: Los datos personales deberán ser veraces, exactos y actualizados. Finalidad: No pueden utilizarse los datos personales para fines distintos para los cuales fueron recolectados. Previo consentimiento informado: El tratamiento de datos personales será legítimo cuando el titular haya prestado su consentimiento en forma previa, libre, expresa e informada, salvo las excepciones establecidas en la Ley. Seguridad de los datos: El responsable de la base de datos deberá garantizar la seguridad y confidencialidad de los datos personales, adoptando las medidas necesarias. Reserva: Quiénes utilicen los datos personales en sus actividades no podrán difundirlos a terceras personas. Responsabilidad: El responsable de la base de datos es responsable por el incumplimiento de la Ley.

25 ! 25 ANEXO IV FORMULARIO PARA RECABAR EL CONSENTIMIENTO DEL TITULAR DE DATOS PERSONALES YA INCORPORADOS EN UNA BASE DE DATOS DE PREVIA EXISTENCIA 1. En cumplimiento de la Ley sobre Protección de Datos Personales y Acción de Habeas Data (LPDP) de 11 de agosto de 2008, el Decreto Reglamentario 414/009 de 31 de agosto de 2009 y demás normas relativas y concordantes, Meridian PDP solicita a través del presente formulario, su consentimiento para el tratamiento de sus datos personales ya existentes en una base de datos propiedad de la entidad. 2. A los efectos de determinar el alcance del consentimiento del titular, se entiende por tal, aquél que es otorgado en el presente formulario mediante una manifestación expresa, libre, específica, inequívoca e informada a los efectos de consentir el tratamiento de sus datos personales. 3. A tales efectos, se pone en conocimiento del titular, que su información se encuentra recogida y tratada en la Base de Datos CLIENTES o INTERESADOS propiedad de Meridian PDP, cuyos fines de tratamiento han sido fijados en el Código de Conducta Meridian PDP, descargable gratuitamente desde Los mismos son Nombres, Apellidos, Empresa, Rubro, Dirección, Teléfono, , Celular y Persona de Contacto (Nombre y Apellidos). 4. Los datos personales de su titular recogidos en la base de datos mencionada serán utilizados únicamente con el objeto de cumplir con las obligaciones contractuales existentes entre el titular y Meridian PDP así como para aquellos casos en que la entidad ejerza los cometidos de protección de datos y habeas data de su titular de acuerdo a lo establecido en la LPDP y demás normas complementarias. 5. Los datos personales recogidos en la base de datos no serán utilizados para fines distintos de los establecidos en el numeral anterior del presente formulario así como para aquellos fines que sean incompatibles, distintos con aquellos que han motivado su recolección. 6. Los datos personales del titular no serán incorporados, compartidos o comunicados con otra base de datos sin el consentimiento del mismo. 7. Los mencionados datos así como la base de datos entera se encuentran protegidos de manera segura de acuerdo a lo establecido en el Código de Conducta Meridian PDP. 8. Se informa por este medio, que el titular de los datos personales podrá ejercer en todo momento los derechos de acceso, rectificación, actualización, inclusión, supresión o i m p u g n a c i ó n d e l a s v a l o r a c i o n e s p e r s o n a l e s s o l i c i t á n d o l o a t r a v é s d e contacto@meridianpdp.com o personalmente en Río Negro 1370 OF 904, (11100 Montevideo, Uruguay). A tales efectos, se cuenta con formularios descargables gratuitamente en