SUPPLEMENT – URUGUAY

1. SCOPE

This Supplemental Provision (Addendum) to the Authenticator Global Privacy Notice for Uruguay (the “Uruguay Supplement”) supplements the information contained in the Citi Authenticator Global Privacy Notice and applies to current employees (collectively, “Workforce Members”) of Citibank N.A., Sucursal Uruguay (the “Company”, “Citi”, “we”, “us”, “our” or the “Bank”).

This Uruguay Supplement describes how the Bank handless Personal Data, as defined below, of its Workforce Members

The term Personal Data in this Uruguay Supplement shall have the meaning prescribed by the Law 18.331. Therefore, Personal Data means information of any kind related to an individual or legal entity. This Uruguay Supplement is issued pursuant to Law 18.331, Decree 404/09, Arts. 37 to 40 of Budget Law 19.670 and Decree No. 64/20 (“Uruguayan Data Protection Law”).

2. INFORMATION SHARING AND DATA TRANSFERS

The Bank is your data controller. However, your Personal Data may be accessed by certain Citi data processors across international borders. A list of data controllers and data processors relevant to this Uruguay Supplement is available in Appendix 1. Citi maintains a global privacy program designed to ensure that Personal Data is handled consistently and in accordance with applicable law. As part of this program, your Personal Data may be transferred to, accessed from, or stored in jurisdictions outside of Uruguay, which may not offer the same level of data protection as Uruguayan law. For example, authentication services and similar functions may be performed by one or more Citi data processors located in other countries. Such transfers are carried out in accordance with Citi’s Global Privacy Notice and applicable legal requirements.

To adequately protect your Personal Data transferred outside Uruguay, the Bank may transfer your Personal Data to jurisdictions considered adequate by the Uruguay Personal Data Regulatory and Control Unit (“URCDP”), such as: the European Union, the European Economic Area, Andorra, Argentina, Canada (private sector), Guernsey, the Island of Man, the Faroe Islands, Israel, Japan, Jersey, New Zealand, the United Kingdom of Great Britain and Northern Ireland, the Swiss Confederation, the Republic of Korea and to entities listed in the “Data Privacy Framework List” published by the USA Department of Commerce, on the basis of Resolution No. 63/2023 of the URCDP. The above is without prejudice to the fact that the Bank may transfer your Personal Data, even to other countries which do not have the same level of protection as Uruguay, based on other exceptions, including contractual or precontractual necessity, or your consent.

3. INDIVIDUAL RIGHTS IN PERSONAL INFORMATION

You will have, at all times and upon prior identification, the right to access to your personal data, free of charge, at intervals not less than six months, unless you demonstrate a legitimate interest, as established in articles 13 and 14 of Law 18.331. Likewise, you will have the right at all times to request to have your Personal Data rectified, updated, included and/or deleted and challenge personal assessments made by an automated mechanism, in accordance with applicable regulations. However, in certain cases, and in accordance with applicable regulations, the Bank may deny said requests (e.g. in case the Bank may be obliged or legitimated to keep historical information, etc.).

You may exercise these rights through self-service in the Workday app, or by opening a case in the HR HelpCenter or email to hrdataprivacy@citi.com.

4. CHANGES TO OUR PRIVACY NOTICE AND PRACTICES

We may revise this Uruguay Supplement from time to time. If there are any material changes to this Uruguay Supplement, we will notify you. Any changes will become effective when posted on the intranet.

5. INFORMATION ABOUT THE EMPLOYEES' DATA BASE. CONTACT US

If you have any questions about our privacy practices or this Uruguay Supplement, please contact us by opening a case in the HR HelpCenter.

6. LEGAL AGE

This Privacy Notice is not intended for or directed at people under the age of 18. In addition, the App is not designed for children, children are not authorized to use the App, and the Bank do not knowingly collects personal information from children under the age of 18.

SUPLEMENTO - URUGUAY

1. ALCANCE

El presente Suplemento (Adenda) para Uruguay al Aviso Global de Privacidad del Autenticador (el “Suplemento para Uruguay”) complementa la información que surge del Aviso Global de Privacidad del Autenticador de Citi y se aplica a los empleados actuales (colectivamente, el “Personal”) de Citibank N.A. Sucursal Uruguay (la “Sociedad”, “Citi”, “nosotros”, “nos”, “nuestro” o el “Banco”).

El presente Suplemento para Uruguay describe la forma en que el Banco gestiona los Datos Personales del Personal, tal como se definen a continuación.

El término Datos Personales en el presente Suplemento para Uruguay tendrá el significado prescrito por la Ley 18.331. Por lo tanto, se entiende por Datos Personales la información de cualquier clase relacionada con una persona física o jurídica. El presente Suplemento para Uruguay se emite en virtud de la Ley N° 18.331, el Decreto N° 404/09, los artículos 37 a 40 de la Ley de Presupuesto N° 19.670 y el Decreto N° 64/20 (la “Normativa Uruguaya en materia de Protección de Datos”).

2. INTERCAMBIO DE INFORMACIÓN Y TRANSFERENCIA DE DATOS

El Banco es su responsable del tratamiento de datos. No obstante, es posible que determinados encargados del tratamiento de datos de Citi accedan a sus Datos Personales a través de fronteras internacionales. En el Apéndice 1 se presenta una lista de los responsables y encargados del tratamiento de datos correspondientes al presente Suplemento para Uruguay. Citi mantiene un programa global de privacidad diseñado para asegurar que los Datos Personales se gestionen de manera sistemática y según la legislación aplicable. Como parte de este programa, sus Datos Personales se pueden transferir, acceder o almacenar en jurisdicciones fuera de Uruguay, que pueden no ofrecer el mismo nivel de protección de datos que la legislación uruguaya. Por ejemplo, uno o más encargados del tratamiento de datos de Citi ubicados en otros países pueden prestar servicios de autenticación y funciones similares. Las transferencias se realizan de conformidad con el Aviso Global de Privacidad de Citi y los requisitos legales aplicables.

Para proteger adecuadamente sus Datos Personales transferidos fuera de Uruguay, el Banco puede transferir sus Datos Personales a jurisdicciones consideradas adecuadas por la Unidad Reguladora y de Control de Datos Personales (“URCDP”), como por ejemplo: la Unión Europea, el Área Económica Europea, Andorra, Argentina, Canadá (sector privado), Guernsey, Isla de Man, Islas Feroe, Israel, Japón, Jersey, Nueva Zelanda, el Reino Unido de Gran Bretaña e Irlanda del Norte, la Confederación Suiza, la República de Corea y las entidades indicadas en la “Lista Marco de Privacidad de Datos” publicada por el Departamento de Comercio de Estados Unidos, según la Resolución No. 63/2023 de la URCDP. Lo que antecede es sin perjuicio del hecho de que el Banco pueda transferir sus Datos Personales, incluso a otros países que no tengan el mismo nivel de protección que Uruguay, en base a otras excepciones, inclusive la necesidad contractual o precontractual, o su consentimiento.

3. DERECHOS PERSONALES EN RELACIÓN CON LA INFORMACIÓN PERSONAL

Usted tendrá, en todo momento y previa identificación, el derecho a acceder a sus Datos Personales, sin cargo, a intervalos no inferiores a seis meses, a menos que demuestre un interés legítimo, según lo establecido en los artículos 13 y 14 de la Ley Nº 18.331. Asimismo, tendrá derecho en todo momento a solicitar que sus Datos Personales se rectifiquen, actualicen, incluyan y/o eliminen, así como a impugnar las evaluaciones personales que realice un mecanismo automático, de conformidad con la normativa aplicable. Sin embargo, en determinados casos y de acuerdo con la normativa aplicable, el Banco podrá desestimar esas solicitudes (por ejemplo, en caso de que el Banco se encuentre obligado o legitimado a mantener información histórica, etc.).

Puede ejercer estos derechos a través del autoservicio en la aplicación Workday, abriendo un caso en el Centro de Ayuda de RRHH o por correo electrónico a la casilla hrdataprivacy@citi.com.

4. CAMBIOS A NUESTRO AVISO Y PRÁCTICAS DE PRIVACIDAD

El presente Suplemento para Uruguay se podrá revisar cuando corresponda. Le notificaremos si realizamos modificaciones significativas al presente Suplemento para Uruguay. Las modificaciones entrarán en vigor cuando se publiquen en la intranet.

5. INFORMACIÓN SOBRE LA BASE DE DATOS DE LOS EMPLEADOS. CONTACTO.

Si tiene alguna pregunta sobre nuestras prácticas de privacidad o el presente Suplemento para Uruguay, comuníquese con nosotros abriendo un caso en el Centro de Ayuda de RRHH.

6. MAYORÍA DE EDAD

El presente Aviso de Privacidad no se dirige a personas menores de 18 años. Asimismo, la aplicación no está diseñada para menores, los menores no están autorizados a utilizar la aplicación y el Banco no recopila a sabiendas información personal de personas menores de 18 años.

Appendix 1: Data controllers and data processors / Apéndice 1: Responsables y encargados del tratamiento de datos

País / Country Compañía / Company
ICELAND THREATMETRIX INC
US THREATMETRIX INC
US GOOGLE LLC FKA GOOGLE INC
US AKAMAI TECHNOLOGIES INC
NETHERLANDS AKAMAI TECHNOLOGIES INC
SINGAPORE AKAMAI TECHNOLOGIES INC
US CITIBANK N.A.
IRELAND CITIBANK N.A. IRELAND
HUNGARY CITIBANK EUROPE PLC HUNGARY
SINGAPORE CITIBANK N.A. SINGAPORE
ISRAEL CITIGROUP GLOBAL MARKETS LIMITED ISRAEL
INDIA CITIGROUP GLOBAL MARKETS INDIA PRIVATE LIMITED
Citi LogoCopyright © 2024 Citigroup Inc