VISTO las competencias atribuidas a esta DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES por la Ley nº 25326 y su reglamentación aprobada por Decreto nº 1558/01, y
CONSIDERANDO:
Que entre las atribuciones asignadas a la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES se encuentra la de homologar los códigos de conducta presentados conforme lo establecido en el artículo 30 de la ley antes citada, previo dictamen del CONSEJO CONSULTIVO que asesora a esta DIRECCIÓN NACIONAL, teniendo en cuenta para ello la adecuación del mismo a los principios reguladores del tratamiento de datos personales, la representatividad que ejerza la asociación y organismo que elabora el acto y su eficacia ejecutiva con relación a los operadores del sector mediante la previsión de sanciones o de mecanismos adecuados.
Que dichos extremos se han cumplimentado o han sido acreditados en el presente caso.
Que ha tomado la intervención que le compete el antes citado CONSEJO CONSULTIVO.
Que la presente medida se dicta en uso de las facultades conferidas en el artículo 29, punto 5, f) de la Ley nº 25.326.
Por ello,
EL DIRECTOR NACIONAL DE PROTECCIÓN DE DATOS PERSONALES
DISPONE:
Artículo 1º.- Homológase el CÓDIGO DE ÉTICA DE LA ASOCIACIÓN DE MARKETING DIRECTO E INTERACTIVO DE ARGENTINA (AMDIA), que como Anexo I se adjunta al presente.
Artículo 2º.- Comuníquese, publíquese, dése a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y archívese.
ANEXO I
CÓDIGO DE ÉTICA DE LA ASOCIACIÓN DE MARKETING DIRECTO E INTERACTIVO DE ARGENTINA
PRESENTACIÓN
Las nuevas técnicas de comunicación han acercado los puntos más remotos de nuestro mundo. Los avances tecnológicos permiten que las empresas analicen velozmente millones de datos a fin de elaborar e implementar estrategias de abordaje «uno a uno» con sus clientes y prospectos. Estos adelantos son muy beneficiosos para la sociedad y, a su vez, requieren nuevas reglas de juego para asegurar que el gran poder de la información se emplee en un marco de respeto de los derechos de las personas.
La práctica comercial del Marketing ha incrementado su actividad utilizando estas nuevas y modernas modalidades de trabajo. La Asociación de Marketing Directo e Interactivo de Argentina (AMDIA) nuclea a empresas, entidades de bien público y profesionales que promueven una práctica competente y ética del marketing directo e interactivo y de los teleservicios. Asume la responsabilidad de procurar que dichas actividades sean útiles y constructivas para el sector en particular y la comunidad en general.
Por ello, se considera que las comunicaciones engañosas, mal intencionadas, inmorales u ofensivas constituyen malas prácticas tanto para la actividad publicitaria y de marketing general como para la de Marketing Directo e Interactivo y los Teleservicios.
Por el contrario, tales actividades se verán consolidadas si todas las referidas empresas e individuos adhieren a una guía de principios reconocidos y aceptados, cuya finalidad sea asegurar el cumplimiento tanto de:
���� la lealtad en la relación comercial y filantrópica entre las empresas y entidades y el público en general.
���� los derechos de los individuos en términos de la preservación de su intimidad, así como el de las empresas e instituciones para realizar un uso adecuado de los datos para el cumplimiento de sus fines comerciales básicos.
En consecuencia y sujeto a las leyes que reglamentan el comercio en general y a la Ley nº 24.240, de Defensa del Consumidor, así como al régimen que protege los datos personales – Ley nº 25.326 – AMDIA establece el presente Código de Ética que incluye aquellos principios de conducta relacionados con la actividad del Marketing Directo e Interactivo y los Teleservicios, los cuales tienen aceptación tanto en el orden nacional como internacional.
Para ello, según establece su Estatuto, todas las empresas, entidades y personas que integran AMDIA se comprometen a respetar y hacer respetar en su letra y espíritu estas normas de autodisciplina garantizando así, la transparente práctica de su actividad. En este sentido aumentará la eficiencia de este Código, el desarrollo por parte de las entidades socias, de normas internas que aseguren su cumplimiento, entrenando a sus empleados en estas prácticas y demandado los mismos estándares por parte de sus pares.
Estas normas forman parte de la filosofía general de AMDIA, dejando con ello sentadas las bases para una práctica ética en la actividad que nos nuclea, otorgando mayores garantías a las establecidas por el régimen legal, y basados en la autorregulación.
Este Código intenta regular las actividades del Marketing Directo e Interactivo y los Teleservicios y todas aquellas actividades que se relacionen a las mismas.
Es por ello, que con idéntica finalidad se prevén en el presente Código normas de conducta para la recopilación y el uso de listas/bancos de datos de marketing, así como también, para las prácticas de Correo Directo, Centros de Contacto y Telemarketing, Avisos de Respuesta Directa y Marketing por Internet.
El presente Código de Conducta consta de dos Libros, el primero referido a cuestiones de la lealtad y las buenas prácticas comerciales y el segundo referido principalmente a temas relacionados con la protección de los datos personales.
DEFINICIONES
A los fines del presente Código, se entenderá por:
���� Accesibilidad: cualquier comunicación, consulta, interconexión, transferencia, revelación o puesta a disposición de Datos Personales a Terceros, sea en forma oral o escrita, electrónica o no y/o gratuita u onerosa.
���� Alquiler de datos: cuando el Responsable incluye información de terceros en sus comunicaciones de marketing directo o presta accesibilidad para un uso por un número limitado de veces a sus datos.
���� AMDIA: Asociación de Marketing Directo e Interactivo de Argentina.
���� Avisos en Medios Masivos de Comunicación con Respuesta Directa: El uso de anuncios en medios masivos (televisión, radio, prensa y/o vía pública) para recibir respuestas a campañas de Marketing Directo.
���� Banco de Datos, archivos, registros o bases (Banco): Conjunto organizado de datos personales de clientes y/o prospectos objeto de tratamiento o procesamiento electrónico o no cualquiera fuere la modalidad de su formación, almacenamiento, organización o acceso.
���� Banco de Datos de Marketing: banco compuesto de registros creados o usados con propósitos de comercialización de bienes y/o servicios.
���� Broker: Agente comercializador de bancos de datos y/o listas extraidas de los mismos.
���� Centros de Contacto: empresas o sectores de empresas donde se realizan tareas de atención telefónica o por Internet, por cuenta propia o de terceros.
���� Cesión de datos: toda comunicación, consulta, interconexión o transferencia de datos a un tercero. No se considerará cesión cuando la comunicación se efectúe a un procesador de datos.
���� Cliente: persona física o de existencia ideal que adquiere, realiza y/o usa como destinatario final bienes y/o servicios.
���� Comerciante de Internet: cualquier individuo u organización que opere un servicio on-line (conectado a la red mundial «World Wide Web») o un Sitio de la Web, ya sea si recopila o no, de los usuarios, información personal on-line y todo lo referido a la publicidad y actividades de marketing en Internet, para la promoción y/o venta de cualquier tipo de productos o servicios.
���� Correo Directo: uso de la vía postal para hacer llegar comunicaciones de Marketing Directo y/o recibir respuestas a campañas de Marketing Directo.
���� Datos Personales (Datos): cualquier información relacionada con una persona física o de existencia ideal identificada o identificable. Se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social.
���� Datos Sensibles: Datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.
���� DNPDP: Dirección Nacional de Protección de Datos Personales. Es el Órgano de Control de la Ley nº 25.326, de Protección de Datos Personales.
���� Ética: Conjunto de principios que tiene por objeto ordenar los actos humanos con arreglo a la ley moral y con miras a la consecución del bien.
���� Información Personal: cualquier información asociada o que pueda ser asociada a una persona física o de existencia ideal, identificada o identificable.
���� Internet: sistema público de redes de computación que hace posible la transmisión de información entre usuarios como así también todos los medios de información interactivos y redes electrónicas tales como la World Wide Web y servicios on-line (conectados a la red mundial «World Wide Web»).
���� Mailing: Envío de mensajes comerciales por correo en cierta cantidad.
���� Marketing: Conjunto de operaciones coordinadas que contribuyen al desarrollo de la comercialización de un bien o de un servicio.
���� Marketing Directo: Toda comunicación cuantificable, cualificable y previsible, efectuada por cualquier medio conocido o por conocer, que tenga por objeto principal crear y explotar una relación directa a distancia entre una empresa y/o un individuo y sus clientes o prospectos, tratándolos individualmente. Se consideran actividades de Marketing Directo la generación de tráfico hacia instalaciones físicas y la generación de «leads» (oportunidades de venta) para vendedores físicos, siempre que el estímulo utilizado en generar el tráfico/lead incluya un contacto por medios masivos, correo, teléfono o email/Internet u otro medio por conocer.
���� Marketing Interactivo: El uso de Internet para hacer llegar comunicaciones de Marketing y/o recibir respuestas a campañas de Marketing. El denominado «E-Commerce» o «Comercio Electrónico» está contemplado en este término, así como también los «eMailings» y las múltiples maneras de solicitar respuestas (cliqueos).
���� Medios para la Recolección de Datos: se refiere a cupones, teléfono (persona a persona o persona a un sistema automatizado o IVR), fax, e-mail, Internet, kioscos interactivos, avisos en medios masivos de comunicación o entrevistas cara a cara, entre otros.
���� Niños: cualquier persona menor de 13 años.
���� Procesador de Datos (Procesador): Persona física o de existencia ideal, que no sea empleada del Responsable del Banco de Datos, que trata datos personales exclusivamente bajo las instrucciones, responsabilidad y por cuenta y orden del Responsable o Usuario de un Banco de Datos.
���� Prospecto: Cliente potencial
���� Representante legal: toda aquel que ejerce un derecho no propio para el cual se encuentra legalmente autorizado.
Los padres en ejercicio de la patria potestad podrán ejercer la representación de sus hijos menores.
���� Responsable Concreto: Persona física o de existencia ideal ante la cual pueden ejercitarse los derechos de acceso, confidencialidad, rectificación, actualización y supresión. Puede coincidir o no con el Responsable del Banco de Datos.
���� Responsable de Banco de Datos (Responsable): Persona física o de existencia ideal, que es titular de un banco de datos.
���� SPPT: Sigla del Servicio de Preferencia Postal y Telefónica. Se trata de un servicio prestado por AMDIA para la eliminación, inclusión y depuración de los datos personales correspondientes a Bancos de Datos de marketing, a pedido de los Titulares de los Datos.
Para los propósitos del presente Código, se considerará al Servicio de Preferencia de Correo Electrónico (el «EMPS», prestado por la DMA de Estados Unidos) al que AMDIA se encuentra actualmente adherido, o cualquier servicio con que AMDIA lo reemplazara en el futuro, como asimilado al SPPT.
���� Telemarketing: el uso de vía telefónica para hacer llegar comunicaciones y/o recibir respuestas a campañas de Marketing Directo.
���� Terceros: cualquier persona física o de existencia ideal que no es ni titular, ni procesador, ni responsable de un banco de datos, ni agente o empleado de estos últimos.
���� Titular de Datos (Titular): Persona física o de existencia ideal cuyos datos sean objeto de tratamiento
���� Tratamiento de Datos (Tratamiento): Operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción, y en general el procesamiento de datos personales, así como también, su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias.
���� Usuario de Datos (Usuario): toda persona, pública o privada que realice a su arbitrio el tratamiento de datos, ya sea en bancos de datos propios o a través de conexión con los mismos.
���� Usuario de Internet: toda persona física o ideal que esté registrada como un suscriptor de Internet o que tenga acceso a Internet y a los servicios on-line (conectados a la red mundial «World Wide Web»).
LIBRO II
TRATAMIENTO DE DATOS PERSONALES
I.- OBTENCIÓN DE DATOS PERSONALES
12.- Recolección directamente del Titular
El Responsable debe garantizar que la recolección se haga de una manera legítima y que el derecho a la información del Titular esté asegurado.
12.1.- Principios generales para un tratamiento justo:
12.1.1.- Información esencial
Todo Responsable debe garantizar que los Titulares sean informados sobre:
���� la existencia del archivo, registro o banco de datos, electrónico o de cualquier otro tipo y el nombre y domicilio de su Responsable;
���� la finalidad para la cual los datos serán tratados (por ejemplo informaciones transaccionales o promocionales).
12.1.2.- La información esencial deberá suministrarse en el momento de la recolección, salvo que el Titular ya la posea.
12.1.3.- Información sobre los derechos del titular.
Los Responsables deberán:
���� asegurar que los Titulares estén informados del derecho a expresar su voluntad de no ser abordados en el futuro con una finalidad de Marketing Directo,
���� hacer sus mejores esfuerzos para informar a los Titulares de su derecho a acceder y hacer corregir datos erróneos.
12.1.4.- Tratamiento de información específica
���� Información en el caso de datos utilizados para las actividades de Marketing Directo del Responsable.
En el caso en que la finalidad sea la utilización de los datos por parte del Responsable para su propio uso en Marketing Directo, éste garantizará al Titular el libre acceso a la información esencial y hará saber el derecho que le asiste a no consentir tal uso.
El Responsable deberá suministrar la información en el momento de la recolección de los datos y no ahorrará esfuerzos para lograrlo. Cuando ello resultare difícil o imposible (por ejemplo: espacios de publicidad pequeños o telemarketing) y estuviera permitido por la legislación vigente, esta información debe ser provista lo antes posible después de la recolección (por ejemplo: cuando el Titular recibe la primera información –factura, recibo, etc.- por escrito o por otro medio idóneo).
���� Información en caso de accesibilidad
Cuando la finalidad sea comunicar los datos a Terceros, los Responsables deben garantizar que los Titulares, además de recibir la información esencial, estén informados, en caso de solicitarlo, sobre:
– cualquier tercero receptor y la finalidad para la cual los datos serán revelados o comunicados;
– el derecho del Titular a expresar su oposición a que sus datos se revelen para información de Marketing Directo
– esta información deberá ser suministrada en el momento de la recolección y no se ahorrarán esfuerzos para lograrlo. Cuando ello resultare difícil o imposible (por ejemplo: espacios de publicidad pequeños o telemarketing) y estuviera permitido por la legislación vigente y ya se hubiera dado esta información a través de mecanismos apropiados (por ejemplo: anuncio colectivo apropiado que sea accesible en general y suficientemente dirigido a un público específico), no será necesario suministrarlo.
���� Información en el caso de uso de cuestionarios y otros formularios
Los Responsables deben garantizar que los Titulares estén informados acerca del carácter obligatorio o voluntario de las respuestas y sobre las consecuencias de no responder.
Además de esta información esencial, los Responsables deben garantizar que los titulares estén informados si la respuestas a las preguntas son obligatorias o voluntarias y las posibles consecuencias por la falta de respuesta (por ejemplo: la situación de no recibir obsequios en el caso de la recolección de datos por medio de cuestionarios).
El Responsable deberá garantizar que no se formulen preguntas innecesarias. La información en el caso de los cuestionarios deberá suministrarse en el momento de la recolección.
12.2.- Recolección de otras fuentes que no sean el Titular
Para el caso en que los Responsables no recolectaren directamente los datos de los Titulares, deberán poner a disposición de estos últimos la información a la que se refiere el punto 12.1.1., en el momento de efectuar el primer acto de Tratamiento de los datos o en el momento de dar Accesibilidad.
En estos casos se recomienda la suscripción de un acuerdo entre quien recibe y quien presta Accesibilidad. En dicho acuerdo se dejará constancia, que tanto la recolección y tratamiento de los datos como la puesta en funcionamiento del Banco de Datos, se realizarán de acuerdo con la normativa legal vigente y los principios establecidos en este Código.
12.3.- Recolección de Datos Sensibles
Los datos sensibles, excepcionalmente, podrán ser objeto de tratamiento para realizar ofertas de marketing directo por proveedores de bienes y/o servicios o tratamientos médicos y entidades sin fines de lucro. Siempre deberá verificarse previamente, el consentimiento expreso, informado y por escrito del Titular.
A fin de prestar su consentimiento, el Titular debe recibir una noticia clara del carácter sensible de los datos que proporciona, así como también, que puede negarse a suministrarlos; la finalidad del tratamiento y sus destinatarios; los datos identificatorios del responsable del Banco, en caso de cesión, que se cumplan los fines directamente relacionados con el interés legítimo del cedente y el cesionario, informándosele la finalidad de la cesión e identificando al cesionario, así como la mención del derecho del titular de los datos a solicitar su retiro de la base correspondiente.
12.4.- Finalidades Diferentes
Al tratar Datos Personales con finalidad diferente de aquella para la cual los datos fueron recolectados originalmente, el Responsable deberá verificar si la nueva finalidad resulta compatible con la finalidad notificada, caso en el cual, se podrá realizar su tratamiento.
Al evaluar la compatibilidad de la nueva finalidad, los Responsables tomarán en consideración, entre otros aspectos, los siguientes criterios:
���� si la nueva finalidad es sustancialmente diferente de la finalidad con la cual se recolectaron los datos;
���� si los Titulares de los Datos pudiesen haberla previsto razonablemente;
���� o si es probable que la hubieran objetado de haberlo sabido.
���� En el caso que la nueva finalidad no sea compatible con la finalidad notificada pero esté amparada por las leyes y normas pertinentes, se podrá realizar su tratamiento, conforme lo señala el art . 27 de la Ley 25326 y su reglamentación.
12.5.- Disposiciones Específicas para Niños
12.5.1.- Al recolectar datos sobre niños, el Responsable deberá siempre realizar todo esfuerzo razonable a fin de garantizar que el niño y su Representante Legal estén informados acerca de las finalidades del Tratamiento de los datos. El aviso de la información deberá ser destacado, de fácil acceso y comprensible para los niños, en particular, cuando se utilicen materiales comerciales dirigidos a ellos.
12.5.2.- En los casos en que la ley aplicable de protección de datos requiriera el consentimiento del Titular para su Tratamiento, los Responsables deberán obtener del Representante Legal, el consentimiento previo e informado.
12.5.3.- Los Responsables deberán constatar razonablemente que la persona que ejerce los derechos del niño sea su Representante Legal.
12.5.4.- El Responsable concederá al Representante Legal los mismos derechos que los descriptos en el punto 12.1. de este Libro. Los Responsables no ahorrarán ningún esfuerzo razonable para verificar que la persona que pretende ejercer los derechos del niño sea su Representante Legal.
12.5.5.- Los Responsables no condicionarán la participación de un niño en un juego, el ofrecimiento de un premio o cualquier otra actividad que involucre un beneficio promocional, a que el niño revele más Datos Personales que aquellos que sean estrictamente necesarios en función de la finalidad de la campaña, la que deberá estar adecuada a los principios generales de este Código.
II.- OBLIGACIONES DEL RESPONSABLE
13.- Principios que rigen la Protección de Datos
13.1.- Los Responsables deberán obrar de acuerdo con los siguientes principios:
Los Datos Personales:
13.1.1.- Deben tratarse en forma legal sobre la base de un fundamento legítimo y de las disposiciones de este Código.
13.1.2.- No deben tratarse adicionalmente de una manera incompatible con aquellas finalidades a menos que el titular hubiera dado su consentimiento adicional.
13.1.3.- Deben ser adecuados, pertinentes (por ejemplo: el caso de la compañía aérea que interroga a sus pasajeros sobre sus hábitos alimenticios, situación que no cabría respecto de una empresa automotriz, ya que normalmente no ofrece comidas) y no excesivos con relación a las finalidades para las cuales se hubieran recabado.
13.1.4.- Deben ser exactos y mantenerse actualizados. Esto se logra a través del uso de listas de supresión (tanto internas, como del SPPT), de los datos disponibles públicamente y del derecho a la rectificación o actualización ejercido por el Titular.
13.1.5.- Deben mantenerse en un formulario que permita la identificación de los Titulares por un tiempo no mayor al que sea necesario para la finalidad para la cual fueron recolectados y tratados en forma adicional.
13.1.6.- Los Responsables deben suscribir un contrato con sus Procesadores en virtud del cual éstos acuerdan cumplir los principios enumerados con anterioridad y actuar únicamente según instrucciones del Responsable, así como también adoptar las medidas de seguridad pertinentes y proceder a la destrucción de los datos una vez finalizada la relación contractual. La responsabilidad hacia el Titular de los datos por un tratamiento justo y legal es exclusiva del Responsable y no podrá ser transferida a un Procesador por medio de un contrato. Ello, sin perjuicio de las responsabilidades propias en que pueda incurrir el Procesador con su accionar.
13.2.- Medidas de seguridad
13.2.1.- Los Responsables deben garantizar la instrumentación de medidas de seguridad apropiadas, teniendo en cuenta para su implementación el costo y el avance tecnológico, así como el carácter sensible de los datos, a fin de prevenir la destrucción accidental e ilegal o la pérdida, alteración y accesibilidad no autorizada o acceso no permitido a sus archivos de Datos Personales.
Para mayor resguardo, se invita a los Responsables a implementar medidas específicas, tales como la «siembra de datos» (colocar datos en una lista para detectar usos no autorizados de la misma).
13.2.2.- Tales medidas abarcan, entre otras:
���� la seguridad de los edificios en los cuales se almacenan y/o tratan Datos Personales,
���� la lista de personas autorizadas para acceder a los datos y su grado de responsabilidad,
���� los mecanismos apropiados de autenticación (passwords) y,
���� el resguardo en la transferencia de datos entre el Responsable y el Procesador.
13.2.3.- Los Responsables deberán requerir que cualquier Procesador que se emplee tenga las medidas de seguridad apropiadas (incluyendo el respeto a la confidencialidad), mediante la inclusión de las disposiciones correspondientes en el contrato mencionado en el punto 13.1.6.
13.2.4.- Los socios de AMDIA deberán instruir a su personal que el uso indebido de datos puede llevar a la aplicación del artículo 157 bis del Código Penal, referido al delito de Violación de secretos, reprimido con pena de prisión de 1 (un) mes a 2 (dos) años.
13.3.- Responsable concreto
13.3.1- Los Responsables deberán designar dentro de su organización a un Responsable Concreto, quién actuará como interlocutor en materia de protección de datos.
13.3.2.- Las funciones del Responsable Concreto deberán incluir como mínimo:
���� el seguimiento de las prácticas de protección de datos de la organización, para que cumplan con la ley pertinente y con las disposiciones de este Código.
���� actuar como punto de contacto para AMDIA.
13.3.3.- AMDIA confeccionará un listado de nombres de los Responsables Concretos de cada miembro, que será oportunamente elevado a la DNPDP para su conocimiento.
13.4.- Ejercicio de los derechos del Titular de los Datos
Además de cumplir con los principios expuestos en el punto 13, los Responsables deberán garantizar al Titular los siguientes derechos:
13.4.1.- A exigir el retiro o bloqueo de su nombre de los bancos de datos cuya finalidad sea la publicidad o el marketing directo.
13.4.2.- A obtener su rectificación si fueran falsos, erróneos o inexactos. A su integración si fueran incompletos; a su actualización, si fueran obsoletos.
13.4.3.- A objetar el tratamiento de sus datos para Marketing Directo incluyendo la posibilidad de no ser contactado en nombre de otra persona. A estos fines se entiende que retener datos -con la finalidad de bloquear comunicaciones de Marketing Directo- no será considerado tratamiento para esta actividad.
13.4.4.- A objetar la accesibilidad de datos a un Tercero, salvo los casos previstos en la legislación vigente.
13.5.- Accesibilidad de las listas
a.- Los Responsables que hacen accesible sus listas a terceros, deberán tomar las medidas necesarias (por ejemplo: solicitar una muestra del material) para investigar las finalidades del uso que se dará a los datos, con el fin de determinar que su contenido no sea ilegal, no ético o pudiera dañar la imagen del Marketing Directo en general o contener material que resultara inaceptable (por ejemplo: pornografía) .
b.- Los Responsables también deberán tener un acuerdo escrito con los Terceros que utilizarán las bases de datos correspondientes, por el cual se comprometen al fiel cumplimiento de los principios de este Código.
III.- PROCEDIMIENTO A SEGUIR CON LOS PEDIDOS DE LOS TITULARES
14.- Acceso a los datos
14.1.- Todo Titular tiene el derecho a obtener, previo requerimiento al Responsable:
���� La confirmación del tratamiento de sus datos.
���� Las finalidades del tratamiento.
���� Las categorías de datos involucradas y los receptores o categorías de receptores a quienes se revelen estos datos.
���� La comunicación de manera inteligible de los datos sometidos a tratamiento y de cualquier información disponible en lo que respecta a su fuente.
14.2.- Los Responsables que reciben pedidos de los Titulares, ya sea por escrito o por cualquier otro medio idóneo, deben:
���� Indicar cualquier información especial que pudiera necesitarse de los Titulares en particular, su identidad, a fin de garantizar que el Titular esté debidamente habilitado para ejercer el derecho de acceso, así como también para localizar sus registros (por ejemplo: referencia a campañas de mailing)
���� Suministrar los datos de manera clara e inteligible, acompañando notas o explicaciones que subsanen cualquier ambigüedad o lista de códigos aplicada por el Responsable.
14.3.- Rectificación o actualización
Los Responsables deberán contestar cualquier pedido de rectificación o actualización formulado por escrito o por cualquier otro medio idóneo. Si existiere duda razonable acerca de su identidad o legitimidad, se deberán requerir pruebas adicionales antes de proceder a la rectificación o actualización (por ejemplo: pedido procedente de un menor sin el consentimiento de su Representante Legal o si el Responsable tuviere información que evidencia que el pedido no estuviere justificado).
Si se reiterare abusiva y/o arbitrariamente el pedido con el propósito de molestar o causar perjuicio, dicho pedido no será atendido.
Cuando no corresponde la rectificación o actualización se debe informar la decisión al Titular.
14.4.- Fuente de los datos
Los Responsables tienen la obligación de comunicar la fuente cuando reciban pedidos de los Titulares -ya sea por escrito o por cualquier otro medio idóneo-.
Para el caso en que se hubieran recolectado de fuentes diferentes, los Responsables procurarán llevar un registro de las fuentes respectivas.
14.5.- Plazos para tratar los pedidos de los Titulares de los Datos
Los Responsables deberán suministrar la información relativa al acceso, la rectificación y/o la fuente, en el menor tiempo practicable y en ningún caso en un plazo mayor al que establece el procedimiento legal.
IV.- SISTEMA DE SERVICIOS DE PREFERENCIA POSTAL Y TELEFÓNICA (SPPT)
15.- Listas de Bloqueo Internas
15.1.1– Los Responsables deberán garantizar que en sus Bancos operen un sistema de supresión que sirva para bloquear nombres u otros detalles de identificación conducentes (números de teléfono o direcciones de correo electrónico) de los Titulares que hubieran solicitado no ser contactados con propósitos de Marketing Directo.
15.1.2.– Si los Responsables reciben un pedido de no contactar a un Titular por ningún medio, deberán bloquear de su base de datos el nombre de ese Titular, en el menor tiempo posible y en ningún caso mayor a 30 días desde el momento en que se recibió el pedido.
15.1.3.– En respuesta a un pedido de un Titular de «no recibir ofertas», los Responsables deberán explicarle que el bloqueo podrá no aplicarse al material de Marketing Directo previamente preparado al recibirse el pedido. Los Responsables deberán asegurar, en el menor tiempo y en ningún caso mayor a 90 días, que ese Titular deje de recibir material adicional de Marketing Directo.
15.2.- Cumplimiento del Servicio de Preferencia Postal y Telefónica (SPPT)
15.2.1.- Los Responsables deben aplicar los principios relativos al SPPT o cualquier otro sistema que lo reemplace en el futuro.
Al utilizar Datos Personales de otros países deben, en forma regular, limpiar sus listas en comparación con los servicios de preferencia conforme los convenios internacionales vigentes.
15.2.2.- Los pedidos de supresión se guardarán en el SPPT o el sistema que lo reemplace en el futuro por el plazo que se establezca a tales efectos en el Sistema de retiro o bloqueo previsto en párrafo segundo del artículo 27 del Decreto nº 1558/01.
V.- TRANSFERENCIA INTERNACIONAL DE DATOS
16.- No podrán ser transferidos internacionalmente los datos personales a países u organismos internacionales o supranacionales que no proporcionen niveles adecuados de protección.
No obstante ello, el Responsable podrá transferir datos personales, si se proporcionan los resguardos suficientes a través de sistemas de autoregulación o mediante la redacción de un contrato entre las partes.
Esto no será aplicable cuando el Titular hubiera prestado su consentimiento expreso o cuando la transferencia fuera necesaria para la ejecución de un contrato entre el Titular y el Responsable o para la implementación de medidas precontractuales que se hubieran tomado en respuesta al pedido del Titular.
VI.- CUMPLIMIENTO Y CONTROL
17.- Resolución de reclamos
17.1.1.- AMDIA establecerá, a través de sus órganos competentes, un procedimiento para solucionar cualquier reclamo que pudiera surgir de la aplicación de este Código.
17.1.2.- Asimismo, deberá designar a una persona para que actúe como Responsable Concreto para el tratamiento de los reclamos. Se deberá comunicar el nombre de esta persona a la DNPDP.
17.1.3.- AMDIA cooperará, en el marco de su competencia, con otras organizaciones públicas o privadas.
17.2.- De la actualización de Bancos de Datos de marketing
El Responsable debe mantenerlo actualizado.
Para ello, se deben tener en cuenta los procedimientos que a continuación se detallan:
17.2.1.- Por cada Banco a que se dé accesibilidad, debe utilizarse el SPPT de AMDIA. Los nombres que se encuentren en estos Bancos sólo podrán ser tratados a los fines de su remoción.
17.2.2.-Deben ser excluidos los datos de aquellos titulares que así lo hubieran solicitado por estar incluidos en el SPPT o que lo hubieran requerido en forma directa al Responsable.
17.2.3.- Si un Titular, al ser contactado por correo, teléfono o Internet, solicita su eliminación del Banco, esto deberá realizarse sin más trámite y sin que ello implique costo alguno para el mismo.
17.2.4.- Los Titulares tienen derecho a conocer qué datos se mantienen de ellos si así lo solicitaren; a que sean modificados si son incorrectos o a que sean eliminados.
17.2.5.- Debe evitarse la duplicación de datos.
17.2.6.- Las personas fallecidas deben ser eliminadas de manera inmediata de los Bancos de datos de marketing en cuanto se tenga conocimiento de esa circunstancia.
17.2.7.- En caso de detectarse errores en los datos personales que surgen de un Banco de Datos de Marketing, deberán ser corregidos en forma inmediata.
17.3.- Del uso de una base de datos de un tercero.
No deben utilizarse Bancos de Datos de Marketing sin la correspondiente autorización del Responsable.
Aún mediando la autorización correspondiente se deberá tener en cuenta:
17.3.1.- Los derechos de los Responsables y las condiciones acordadas con los mismos.
17.3.2.- Que cuando un Banco es alquilado para una sola utilización no debe ser vuelto a usar sin autorización expresa del Responsable.
17.3.3.- El uso sin autorización de un dato personal asentado en un Banco es prueba concluyente del uso sin autorización de todo ese Banco.
17.3.4.- Un Usuario debe informar a cualquier Titular incluido en el Banco, la fuente de donde se obtuvieron sus datos, cuando sea requerido por el titular de los datos.
17.3.5.- Previo a dar accesibilidad a un Banco, deberá fijarse la finalidad de su uso y su concordancia a las normas dispuestas en este Código y a lo establecido por las leyes pertinentes.
17.3.6.- Cuando una empresa de Marketing Directo o un Centro de Contactos es contratado por un Responsable, los datos suministrados a aquellos, así como la información obtenida en el curso de una campaña, pertenecen exclusivamente al Responsable y no a las agencias o proveedores de servicios que intervengan en la acción o campaña, a menos que expresamente, así lo establecieran.
17.4.- De la seguridad de las Bancos de datos
El Responsable debe garantizar que sus empleados cumplan las normas de seguridad y confidencialidad y denuncien cualquier violación de las mismas.
Para ello, se deberán respetar los siguientes procedimientos:
17.4.1.-Preservar datos e información pertinente.
17.4.2.- No mantener información que exceda lo imprescindible para su finalidad, debiendo eliminarse todo dato innecesario.
17.4.3.- No conservar los datos y la información por más tiempo del imprescindible.
17.4.4.- No comunicar datos o informaciones que puedan o deban ser estimadas como confidenciales.
17.4.5.- Proteger los datos y la información libres de pérdida o acceso indebido.
17.4.6.- Los Responsables mantendrán un registro de quienes utilizaron las Bases por el período de un año, garantizando el cumplimiento de adecuadas medidas de seguridad.
17.4.7.- Dado el mayor riesgo que implica el uso de las nuevas tecnologías en las operaciones on line, los Comerciantes de Internet implementarán estrictas medidas de seguridad para evitar el acceso no autorizado, la alteración o distribución de información y datos personales.
17.5.- La responsabilidad en el uso de los Bancos de Datos
Las obligaciones establecidas en este Código a cargo de personas de existencia ideal recaerán sobre sus directores, administradores o gerentes.
Toda persona de existencia ideal deberá mantener a su personal bajo la legislación vigente y cumplir con las obligaciones que de ella emanan.
Las comunicaciones deben ser realizadas por personal calificado, debidamente seleccionado, capacitado y entrenado, y bajo la supervisión y control de supervisores también debidamente capacitados y experimentados.
En el caso de la utilización de Internet, si se ofrece una conexión con otro sitio o servicio, se debe constatar que el mismo cumplimente los requerimientos de seguridad de este Código.
17.6.- Contravención a los principios. Sanciones
Cualquier contravención a este Código por parte de los socios de AMDIA será elevada al Tribunal de Disciplina y eventualmente, si se encontraran elementos que pudieran llevar a una sanción, a la Comisión Directiva de AMDIA para su consideración.
En caso de infracciones a las normas que prescribe el presente Código, el Tribunal de Disciplina de la Asociación será el encargado de impulsar el proceso que se describe en los artículos 25 a 27 del Estatuto, pudiendo la Comisión Directiva aplicar las sanciones de apercibimiento, suspensión y expulsión, sanciones que podrán ser informadas a la opinión pública y a otras Asociaciones o Cámaras Profesionales y a las autoridades públicas, a fin de denunciar la inconducta de la empresa o individuo.
AMDIA podrá considerar la posibilidad de iniciar acciones contra un socio o no socio a fin de proteger el buen uso de la ética profesional a su cargo.