Política de privacidad y protección de datos personales

1 Objetivo

La presente Política de Privacidad y Protección de Datos Personales (la “Política”) establece los lineamientos generales que deberán observarse, con el fin de garantizar y proteger los Datos Personales con base en lo establecido en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la “Ley”) y su Reglamento, así como la metodología y políticas a seguir en los Departamentos de Tratamiento de Datos Personales, Jurídico, Talento/Recursos Humanos, Tecnologías de la Información y cualquier otra involucrado con el tratamiento de Datos Personales, para asegurar el cumplimiento de la referida Ley y su Reglamento por parte de la empresa.

Asimismo, la presente política tiene por objetivo comunicar a los empleados y usuarios de la empresa sobre los recursos, plataformas tecnológicas, sistemas o conjuntos de información y/o datos, y aplicaciones informáticas de la empresa, donde se manejen Datos Personales, las condiciones y conductas que deben asumir al acceder y utilizar dichos recursos.

1. Ámbito de aplicación

Esta Política es aplicable a todo tipo de tratamiento de Datos Personales de posibles clientes, clientes, proveedores personas físicas, candidatos a puestos de trabajo, empleados, ex empleados o cualquier otro análogo; así como a toda modalidad de uso posterior a dichos datos, incluyendo los sistemas de información, soportes y equipos tecnológicos empleados para el tratamiento de Datos personales, que deban ser protegidos conforme a la Ley y su Reglamento.

De lo anterior, esta Política es aplicable para cualquier tipo de tratamiento de Datos Personales por parte de la empresa, aun cuando el tratamiento se realice en el extranjero, o bien lo realice un encargado en México o en el extranjero.

1. Ámbito de aplicación

Esta Política es aplicable a todo tipo de tratamiento de Datos Personales de posibles clientes, clientes, proveedores personas físicas, candidatos a puestos de trabajo, empleados, ex empleados o cualquier otro análogo; así como a toda modalidad de uso posterior a dichos datos, incluyendo los sistemas de información, soportes y equipos tecnológicos empleados para el tratamiento de Datos personales, que deban ser protegidos conforme a la Ley y su Reglamento.

De lo anterior, esta Política es aplicable para cualquier tipo de tratamiento de Datos Personales por parte de la empresa, aun cuando el tratamiento se realice en el extranjero, o bien lo realice un encargado en México o en el extranjero.

2.1 Ámbito personal

El cumplimiento de esta Política es obligatorio para todos los empleados y/o usuarios que estén bajo el control común del mismo grupo de la empresa, independientemente de que se trate de empleados o usuarios de sociedades controladoras, subsidiarias, afiliadas o matrices.

2. Definiciones

  • Aviso de Privacidad: documento físico, electrónico, sonoro o en cualquier otro formato, generado por la empresa, que es puesto a disposición del titular previo al tratamiento de sus Datos Personales.
  • Acceso: derecho del titular a conocer los Datos Personales que obran en las bases de datos de la empresa.
  • Accesibilidad: admisión o permiso para hacer uso de la información y sus recursosasociados.
  • Activo de información: los datos que trata la empresa, que por su contenido y naturaleza otorgan una ventaja competitiva para la empresa, por lo que su mal uso y divulgación podría causar daños a la imagen y a las operaciones de ésta.
  • Amenazas: eventos que pueden desencadenar un incidente en la empresa, produciendo daños materiales o pérdidas inmateriales en sus Activos de Información. Van desde fallas técnicas y accidentes no intencionados hasta acciones intencionadas, más o menos lucrativas, de curiosidad, espionaje, sabotaje, vandalismo, chantaje o fraude.
  • Autenticación del usuario: proceso mediante el cual un sistema computarizado confirma la identidad de un usuario a través de la validación de una cuenta y un esquema de verificación de contraseñas.
  • Autorización: permisos asociados con la Autenticación del usuario.
  • Base de Datos: son los recursos, plataformas tecnológicas, sistemas o conjuntos de información y/o datos, y aplicaciones informáticas donde se manejan de forma ordenada los Datos Personales.
  • Bloqueo: identificación y conservación de Datos Personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades en relación con su tratamiento y establecer el plazo de conservación en las bases de datos.
  • Cancelación: supresión total o parcial de datos personales en las bases de datos, a petición del titular, por prescripción legal o por ya no convenir a los intereses de la empresa conservar esos datos personales.
  • Consentimiento: manifestación de la voluntad del titular, mediante la cual se efectúa el tratamiento de los mismos. Todo tratamiento de Datos Personales estará sujeto al consentimiento de su titular (datos personales: tácito; datos patrimoniales: expreso; datos personales sensibles: expreso y por escrito).
  • Confidencialidad: es la condición de prevenir el uso y divulgación no autorizada de información. Cualquier involucrado en el tratamiento de Datos Personales deberá guardar su confidencialidad.
  • Datos Personales: cualquier información concerniente a una persona física identificada o identificable, como lo son: posibles clientes, clientes, candidatos a puestos de trabajo, empleados, ex empleados o cualquier otro análogo.
  • Datos Personales Sensibles: aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida origine un riesgo grave, discriminación o violación a su intimidad (por ejemplo: origen racial o étnico, estado de salud, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual). No se podrán crear bases de datos que contengan datos personales sensibles a menos que se justifique la creación de las mismas para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persigue el sujeto regulado.
  • Disponibilidad: es la condición de acceso a la información en el momento en que se requiere, y sólo a aquellos usuarios autorizados para tal efecto.
  • Encargado: persona física o jurídica que, sola o conjuntamente con otras, trate Datos Personales por cuentade la empresa (terceros).
  • Información: es todo dato, idea, concepto, mejora, descubrimiento, desarrollo, invención, cualquiera sea su forma y medio de conservación, documentación propia y/o de Terceros, información en los sistemas/equipos, reportes adicionales, medios magnéticos móviles y/o cualquier otro soporte físico.
  • IFAI: Instituto Federal de Acceso a la Información y Datos Personales.
  • Integridad: es la condición de mantener la información libre de modificaciones no autorizadas, ya sean accidentales o mal intencionadas, por lo que se podría comprometer su precisión y confiabilidad.
  • Ley: Ley Federal de Protección de Datos Personales en Posesión de Particulares.
  • Listado de exclusión: base de datos que tiene por objeto registrar, de manera gratuita, los datos del titular que ha manifestado su negativa ante el tratamiento de sus Datos Personales, ya sea para sus productos o de terceras personas.
  • Oposición: derecho del titular a exigir el cese total o parcial del tratamiento de sus Datos Personales para las finalidades que sean distintas a aquellas a las necesarias o que den origen a la relación jurídica entre el responsable y el titular, sin que ello tenga como consecuencia la conclusión del tratamiento para estas últimas.
  • Rectificación: derecho del titular a que sus datos personales sean modificados o corregidos en la base de datos cuando estos sean inexactos o incompletos. Para el ejercicio de este derecho, el titular deberá acompañar a su solicitud la documentación que ampare la procedencia de lo solicitado.
  • Responsable: la empresa, en particular el Departamento de Tratamiento de Datos Personales, Jurídico, Talento/Recursos Humanos, Tecnologías de la Información, y aquellas otras que tratan de los Datos Personales.
  • Reglamento: Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de Particulares.
  • Revocación: derecho del titular a exigir el cese total del tratamiento de sus Datos Personales, para lo que, en caso de ser procedente, la empresa deberá acreditar expresamente el cese del tratamiento.
  • Riesgo: posibilidad de que se produzca un impacto negativo en la empresa. Se puede valorizar como un indicador resultante de la combinación de la vulnerabilidad y el impacto que procede de la amenaza actuante sobre el activo de información.
  • Seguridad: son las medidas de carácter preventivas, que tienen como propósito el resguardo y protección de la información de la empresa, a fin de mantener la confidencialidad, disponibilidad e integridad de la misma.
  • Supresión: actividad consistente en eliminar, borrar o destruir el o los Datos Personales, una vez concluido el periodo de bloqueo, bajo las medidas de seguridad previamente establecidas por la empresa.
  • Titular: persona física a quién corresponden los Datos Personales.
  • Tratamiento: cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales. El tratamiento de los datos se puede dar por cualquier medio, como archivos y registros manuales, bases de datos electrónicas o cualquier soporte físico.
  • Transferencia: toda comunicación de datos realizada a una persona que no sea el Responsable o Encargado.
  • Vulneración: acceso, destrucción, pérdida, divulgación, daño, alteración o modificación no autorizados, o cualquier otro análogo, de información relativa a datos personales.

3. Tipo de datos personales

Los Datos Personales son la información de las personas físicas, que las vuelve identificables. Esta información está contenida en soportes físicos, electrónicos y/o análogos, y se expresa en forma numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo.

Esta información, vuelve a una persona directa o indirectamente identificable, pues se refiere a su identidad física, fisiológica, psíquica, económica, cultural o social, por lo que un mal uso de la misma puede poner en riesgo al titular de sufrir daños considerables en su persona y patrimonio.

La información relativa a datos personales se ha dividido en dos rubros:

Datos personales: aquellos que se refieren a los generales del titular, como pueden ser el nombre, dirección, número telefónico, dirección de correo electrónico, entre otros.

Los datos personales que se recaben deberán ser solamente aquellos que resulten necesarios, adecuados y relevantes, en relación a la finalidad con que se estén obteniendo, misma que deberá ser descrita en el Aviso de Privacidad que se le dé a conocer el titular en el momento en que se lleve a cabo la recolección.

Datos personales sensibles: aquellos que se refieren a aspectos raciales, étnicos, estado de salud, información genética, ideología política, creencias religiosas, filosóficas y morales, afiliación sindical, preferencias sexuales, infracciones penales y administrativas, condición económica, estados financieros, propiedades, entre otros.

Los Datos Personales Sensibles que se recaben deberán ser solamente aquellos que resulten extremadamente necesarios, adecuados y relevantes para el cumplimiento de una obligación jurídica, misma que deberá ser descrita explícitamente en el Aviso de Privacidad que se le dé a conocer al titular en el momento en que se lleve a cabo la recolección.

Siempre que se recaben Datos Personales Sensibles se deberá obtener el consentimiento expreso y por escrito del titular para poder llevar a cabo el tratamiento.

De acuerdo a la naturaleza de los datos personales se establecerán las condiciones y finalidades de la obtención y tratamiento de los mismos.

Los Datos relativos a Personales Morales, a Personas Físicas en representación de una Persona Moral, así como los datos de Personas Físicas en su calidad de Comerciantes y Profesionales, no son considerados “Datos Personales”, por lo que no son sujetos a la protección en la presente Política, siempre y cuando se traten de datos de contacto y se utilicen solo con esos fines.

4.1 Niveles de protección de datos personales

Hay tres niveles de protección para el tratamiento de los Datos Personales:

Alto: relativo a datos personales de salud (estado de salud físico y mental), biométricos (huellas dactilares, iris, palma de la mano y análogos), y de condición social (ideología, afiliación política, religión, origen étnico, preferencia sexual y análogos).

Medio: relativo a datos personales patrimoniales (cuentas bancarias, saldos, propiedades y análogos).

Básico: relativo a datos personales de identificación (nombre, edad, domicilio, RFC, CURP y análogos).

Estos niveles de protección serán considerados por los usuarios y empleados de la empresa al momento de elaborar el inventario de información relativa a Datos Personales, de acuerdo a lo establecido en la presente Política.

5. Obtención de datos personales

La obtención de datos personales se da en varios supuestos, los más comunes se han identificado en cuatro rubros:

Datos personales de Candidatos a puestos de trabajo:son aquellos contenidos en solicitudes de empleos, cartas curriculares; exámenes médicos, psicométricos y de habilidades, realizados por la empresa durante el proceso de selección y otros análogos; que generalmente tienen un alto contenido SENSIBLE.

Datos personales de Empleados: son aquellos que se obtuvieron durante el proceso de selección para el puesto, así como los que se van obteniendo en el transcurso de la relación laboral, como lo son exámenes médicos, estados de salud, reportes de rendimiento, faltas, sueldos y otros análogos; que generalmente tienen un alto contenido SENSIBLE.

Datos personales de Clientes:son aquellos que proporcionados por los clientes u obtenidos por la empresa con motivo de la relación comercial entre ambos, como lo son contratos de compra y venta de productos y servicios, ofrecimiento de promociones y otros análogos; que generalmente tienen un alto contenido SENSIBLE.

Fuentes de acceso público, son aquellos que se obtienen por medios remotos o locales de comunicación electrónica, óptica o de otra tecnología, siempre que el sitio donde se encuentren esté concebido para facilitar la información al público. En este supuesto, el aviso de privacidad se deberá dar a conocer en el primer contacto que se tenga con el titular de los datos personales.

Los empleados y usuarios de la empresa que identifiquen supuestos distintos a los señalados, deberán informarlo al Departamento de Tratamiento de Datos Personales y Jurídico, a fin de que se lleve a cabo la actualización correspondiente a la presente Política. Asimismo, deberán informarlo en el inventario de activos de información relativa a datos personales, de acuerdo a lo establecido en la presente Política.

5.1 Elementos esenciales del aviso de privacidad

Periódicamente se revisará, de acuerdo a lo establecido en la presente Política, que el Aviso de Privacidad contenga al menos los siguientes elementos actualizados:

  • Nombre y domicilio de la empresa.
  • Señalamiento de los datos personales que se van recabar.
  • Señalamiento de los datos personales sensibles que se van a recabar (de ser el caso).
  • Las finalidades del tratamiento de datos.
  • Señalamiento en caso de que el tratamiento de datos tenga, además, fines mercadotécnicos, publicitarios o de prospección comercial (de ser el caso).
  • Señalamiento de las trasferencias de datos que se pudieran efectuar (de ser el caso).
  • Las opciones y medios que ofrece la empresa a los titulares para limitar el uso o divulgación de los datos.
  • El procedimiento para el ejercicio de los derechos de acceso, rectificación, cancelación, oposición y/o revocación (derechos ARCO).
  • El procedimiento y medio por el cual la empresa comunicará a los titulares los cambios al Aviso de Privacidad.

5.2 Tipos de avisos de privacidad

De acuerdo a las necesidades de la empresa se establecerán distintos Avisos de Privacidad:

Aviso de Privacidad Completo: mediante el cual se informa a los titulares acerca de los datos generales de la empresa, la información que se recaba, los fines para los que se recaba, los supuestos de transferencia de datos, las medidas de seguridad y control que se utilizan para la protección de los datos personales, los datos del área responsable del manejo y administración de los datos personales dentro de la empresa, los medios para el ejercicio de los derechos ARCO, así como el procedimiento y medio por el cual la empresa comunicará a los titulares los cambios al aviso de privacidad.

El aviso de privacidad completo se ha diseñado para formatos con espacio amplio, por lo que se recomienda subirlo a la página de Internet de la empresa; además, en el caso de todos los avisos de privacidad que se implementen, hacer la invitación al titular para conocer el texto completo del aviso de privacidad en la página de Internet, señalando el vínculo web. Ejemplo:

www.laempresa.com/privacidadhttp://www.laempresa.com/avisodeprivacidad

Aviso de Privacidad Simplificado: mediante el cual la empresa informa a los titulares, de forma resumida, los datos de la empresa y las finalidades del tratamiento de los datos, así como la ubicación del texto completo del aviso de privacidad.

El aviso de privacidad simplificado se ha diseñado para formatos con espacio limitado, por lo que se recomienda utilizarlo en aquellos formatos en los que se recaben datos personales “mínimos” no sensibles, indicando al titular que puede conocer el texto completo del aviso de privacidad en la página de Internet, señalando el vínculo web. Ejemplo:www.laempresa.com/privacidadhttp://www.laempresa.com/avisodeprivacidad

Aviso de Privacidad respecto a la obtención indirecta de datos personales: mediante el cualse informa a los titulares que sus datos fueron obtenidos indirectamente a través de un tercero (señalando los datos del tercero), o bien, a través de una fuente de acceso público.

El aviso de privacidad respecto a la obtención indirecta de Datos Personales está diseñado para ser utilizado únicamente en el supuesto de que los Datos Personales que van a ser tratados, hayan sido obtenidos por un tercero o por una fuente de acceso público, por lo que el contenido del Aviso se deberá informar al titular en el momento en que se establezca el primer contacto o primera comunicación.

Se utilizará un Aviso de Privacidad distinto para cada uno de los supuestos generales de obtención de Datos en la empresa, siendo los más comunes:

  • Obtención de datos personales de Candidatos a puestos de trabajo (Área de Talento).
  • Obtención de datos personales de empleados (Área de Recursos Humanos).
  • Obtención de datos personales de clientes(Área de Atención a Clientes).

5.3 Medios para informar alos titulares el contenido del aviso de privacidad

Previo a la obtención de datos personales, la empresa deberá informar al titular el contenido del aviso de privacidad, por cualquiera de los siguientes medios:

  • En el formato en el que se recaban los datos personales, en el que deberá incluirse el texto del aviso de privacidad simplificado.
  • En un exhibidor acrílico o cartel colocado a la vista del titular, en el que deberá incluirse el texto del aviso de privacidad simplificado.
  • En un aviso de privacidad simplificado en formato sonoro, que se deberá reproducir para el titular antes de que una operadora telefónica recabe sus datos personales.
  • En un enlace web que contenga el texto completo del aviso de privacidad, cuando los datos se recaben por medios electrónicos.

5.4 Utilización de medidas compensatorias para informar a los titulares sobre el contenido del aviso de privacidad

Respecto de aquellos titulares de los que se hayan recabado datos antes de la fecha en que la empresa dio a conocer el Aviso de Privacidad, y de los cuales se estén tratando sus Datos Personales actualmente pero no se les ha dado a conocer el Aviso de Privacidad de forma directa, ya sea porque no se cuentan con los datos de contacto, porque estén desactualizados o ello exija esfuerzos desproporcionados, se les deberá dar a conocer el Aviso por medio de mecanismos de comunicación masiva o de amplio alcance, mediante la aplicación de una medida compensatoria.

Se considera medio de comunicación masiva o de amplio alcance, los diarios de circulación nacional, diarios locales o revistas especializadas, la página de internet de la empresa, carteles informativos, capsulas informativas o radio difusoras, entre otros.

La aplicación de medidas compensatorias será evaluada y deberá ser autorizada por el Departamento de Tratamiento de Datos Personales y Jurídico.

5.5 Cambios en el aviso de privacidad

Cualquier cambio o modificación al Aviso de Privacidad deberá ser notificado a los titulares. El medio para dar a conocer estos cambios o modificaciones será el que se haya establecido en el Aviso de Privacidad, que se dio conocer al titular en el momento que se recabaron sus Datos Personales.

Si los cambios o modificaciones al Aviso implican un tratamiento distinto al que el titular consintió originalmente, se deberá volver a recabar el consentimiento, de acuerdo a lo establecido en la presente Política.

6. Consentimiento para el tratamiento de datos personales

Toda obtención de datos personales deberá ser libre, específica e informada a su titular y éste deberá, en todos los casos, manifestar su consentimiento para que la empresa pueda tratar sus datos personales.

De acuerdo a la naturaleza de los datos, el titular deberá manifestar su consentimiento para el tratamiento de sus datos personales, de forma tácita o expresa.

Consentimiento tácito: se tiene el consentimiento tácito del titular, cuando se puso a su disposición el Aviso de Privacidad, y al paso de 5 días, el titular no manifestó su oposición al mismo.

El consentimiento tácito es aplicable al tratamiento de datos personales no sensibles, que no impliquen trasferencias a terceros ajenos a la empresa.

Consentimiento expreso: se tiene el consentimiento expreso del titular, cuando se puso a su disposición el Aviso de Privacidad y se ha recabado por escrito, por signos inequívocos, medios electrónicos o por cualquier otra tecnología que pueda dejar evidencia y constancia de su consentimiento.

Este tipo de consentimiento es aplicable respecto del tratamiento de Datos Personales sensibles, financieros o patrimoniales, o cuando se contemple la transferencia de los datos a terceros ajenos de la empresa.

El empleado o usuario que recabe los datos deberá asegurarse de que se documente el consentimiento otorgado por el titular para el tratamiento de sus datos personales sensibles, financieros y/o patrimoniales, y éste obre la constancia de consentimiento en el expediente del titular, ya sea de forma física o digital.

Supuestos en los que no es necesario el consentimiento del titular: no es necesario recabar el consentimiento del titular para llevar a cabo el tratamiento de sus datos, en los siguientes supuestos:

  • Cuando el tratamiento de esos datos esté previsto en una Ley.
  • Cuando el tratamiento de esos datos tenga como propósito cumplir con obligaciones derivadas de una relación jurídica entre el titular y la empresa.
  • Cuando el tratamiento sea indispensable para la atención médica o gestión de servicios sanitarios, siempre que el titular no esté en condiciones de otorgar el consentimiento por sí mismo.
  • Cuando exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes.
  • Cuando los datos figuren en fuentes de acceso público.
  • Cuando los datos personales se sometan a un procedimiento previo de disociación.
  • Por mandato judicial.

6.1 Tratamiento de datos personales

El tratamiento de datos personales, consiste en el acceso, manejo, aprovechamiento, transferencia o disposición de los mismos por cualquier medio o recurso (archivos y registros manuales, bases de datos electrónicas o cualquier soporte físico), con el fin de dar cumplimiento a la relación jurídica entre el titular y la empresa, así como al envío de información y promociones que el titular haya autorizado.

Los empleados o usuarios que recaben Datos Personales para la empresa, deberán informar al titular la finalidad del tratamiento de sus Datos Personales de forma sencilla, clara, objetiva y gratuita, señalando las características principales del tratamiento a que serán sometidos sus datos, mediante el Aviso de Privacidad.

El tratamiento de los datos personales deberá ser en todos los casos aquel que resulte necesario, adecuado y relevante en relación a las finalidades del mismo. Cualquier uso distinto está prohibido.

Las finalidades de tratamiento se han dividido de forma enunciativa más no limitativa, en los siguientes rubros:

  • Finalidades necesarias: son aquellas que dieron origen a la obtención de los datos personales y es necesario mantenerlas para la relación jurídica entre el titular y la empresa. Ejemplo: nombre y dirección para el envío de estados de cuenta.
  • Finalidades distintas: son aquellas accesorias y que no son necesarias para la relación jurídica entre el titular y la empresa, como las enfocadas a fines mercadológicos, publicitarios o de prospección comercial. Ejemplo: dirección de email para el envío de publicidad.
  • Las condiciones de “finalidad necesaria” y “finalidad distinta a la necesaria”, se deberán diferenciar en el Aviso de Privacidad. El consentimiento del titular para el tratamiento de sus datos para “finalidades distintas a las necesarias” es optativo.
  • En los casos en que los Datos Personales sean tratados por un encargado a cuenta de la empresa, o bien sean transferidos a terceros nacionales o internacionales, se deberá informar a estos las finalidades a las que el titular sujetó la transferencia.
  • Los usuarios y empleados de la empresa deberán tratar la información relativa a datos personales, únicamente para los supuestos respecto de los cuales se haya obtenido el consentimiento del titular.

7. Plazos para el tratamiento de los datos personales

Se podrán tratar los Datos Personales de los titulares que así lo hayan consentido, por los siguientes plazos:

  • Por el tiempo que dure la relación jurídica entre la empresa y el titular de los datos.
  • Cuando el tratamiento de los datos personales siga siendo necesario en los términos y finalidades que consintió el titular.
  • En tanto el titular de los datos personales no revoque el consentimiento de tratamiento sus datos personales.
  • Por el plazo necesario para dar cumplimiento a las disposiciones legales aplicables de la materia de que se trate, tomando en cuenta los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información. Una vez cumplida la o las finalidades del tratamiento, y cuando no exista disposición legal o reglamentaria que establezca lo contrario, la empresa deberá proceder a la cancelación de los datos en su posesión previo bloqueo de los mismos, para su posterior supresión, de conformidad con las reglas establecidas en la presente política.
  • El plazo de conservación de datos personales obtenidos con motivo de una relación de carácter laboral, es de 5 años contados a partir de la fecha calendario en que el ex empleado se separó de la empresa.
  • El plazo de conservación de datos personales e información relativa al incumplimiento de obligaciones contractuales, es de 72 meses contados a partir de la fecha calendario en que se presentó dicho incumplimiento, una vez concluido este plazo se deberá proceder al bloqueo, cancelación y supresión de esta información, de acuerdo a lo establecido en la presente Política.
  • El plazo de tratamiento y conservación de Datos Personales Sensibles será el mínimo indispensable que se establezca en cada caso.

8. Transferencias de datos personales

La transferencia de datos personales consiste en la comunicación de información a terceros ajenos a la empresa.

La empresa debe informar a los titulares, en el Aviso de Privacidad, los supuestos de transferencia y las finalidades de la misma; y el titular debe autorizar o prohibir expresamente su consentimiento para la transferencia.

La transferencia nacional o internacional de datos personales a terceros ajenos a la empresa deberá cumplir con lo siguiente:

  • Verificar que se cuenta con el consentimiento expreso del titular para la transferencia.
  • Verificar que la transferencia se da en los términos en que autorizó el titular.
  • Informar al tercero receptor, las finalidades de tratamiento que autorizó el titular.
  • Verificar que el tercero receptor cuente con Políticas de Privacidad, Seguridad de la Información y Atención de Derechos ARCO, análogas a las de la empresa.
  • Establecer en un contrato las condiciones de transferencia y tratamiento de los datos personales que se van a comunicar.
  • No se considera “Transferencia de Datos Personales” a terceros, cuando la transferencia se realice dentro del mismo grupo del responsable, ya sea porque se trate de sociedades controladoras, subsidiarias, afiliadas o matrices bajo el control común del mismo grupo de la empresa, y que por ende operen bajo los mismos procesos y estándares de Privacidad, Seguridad de la Información y Atención de Datos ARCO, por lo que no se requiere el consentimiento del titular para la transferencia de Datos Personales bajo estas condiciones.

Asimismo, no se requerirá el consentimiento del titular para la transferencia de sus datos personales en los siguientes supuestos:

  • Cuando la transferencia esté prevista en una Ley o Tratado en los que México sea parte.
  • Cuando los datos personales figuren en fuentes de acceso público.
  • Cuando la transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios.
  • Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, la empresa y un tercero.
  • Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia.
  • Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
  • Cuando la transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre la empresa y el titular.
  • Independientemente de lo anterior, se deberá informar al titular que se podrán realizar este tipo de transferencias, aun sin su consentimiento en el Aviso de Privacidad.

9. Cese del tratamiento de datos personales

Una vez cumplidas las finalidades que justificaron el tratamiento de los datos personales, tomando en cuenta los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información, y no existiendo disposición legal o reglamentaria que establezca lo contrario, se procederá a la cancelación de los datos en posesión de la empresa, previo bloqueo de los mismos, para su posterior supresión.

La cancelación de los datos personales puede darse por dos supuestos:

  • De oficio:cuando los datos personales y las disposiciones legales aplicables hayan dejado de ser necesarios para el cumplimiento de las finalidades previstas en el Aviso de Privacidad.
  • Por solicitud: que será a petición del titular o de su representante, que podrá solicitar en cualquier momento la cancelación de sus datos personales mediante una solicitud formal ante la empresa, de acuerdo a lo establecido en la presente Política.
  • Previo a la Cancelación de los datos, estos deberán ser bloqueados a fin de que cese el tratamiento por parte de los empleados y usuarios; se informe el cese de tratamiento a terceros, a quienes se hayan transferido; y se puedan determinar las condiciones en las que serán cancelados y después suprimidos.
  • Todo el procedimiento de cese del tratamiento de datos personales debe ser documentado, recabando evidencia efectiva de todas las comunicaciones entre las áreas de la empresa involucradas, así como de cada paso que se siguió durante el bloqueo, cancelación y supresión, a fin de que esto obre en el expediente correspondiente al cese de tratamiento, ya sea éste de oficio o a petición del titular.

10. Solicitudes de derechos arco

Los titulares de los datos personales tienen derecho de ejercer, en cualquier momento, sus derechos de acceso, rectificación, cancelación, oposición y revocación (en adelante “DERECHOS ARCO”), respecto de sus datos personales y la forma en que son tratados por la empresa.

Los titulares podrán solicitar a la empresa el ejercicio de alguno o varios de sus Derechos ARCO, de acuerdo a lo establecido en el Aviso de Privacidad, ya sea mediante el llenado de la Solicitud de Derechos ARCO de la empresa; o bien, presentando un escrito libre en el domicilio o dirección de correo electrónico que se haya señalado en el Aviso de Privacidad.

El ejercicio de los Derechos ARCO será gratuito para el titular, debiendo cubrir, en su caso, únicamente los costos por envío (cuando haya solicitado se envíe respuesta por correo certificado o paquetería), los gastos de reproducción (correspondientes a la recuperación de material), y certificación de documentos (cuando sea aplicable), que serán evaluado por el Departamento de Tratamiento de Datos Personales y, en su caso, serán informado al titular al momento de emitir la respuesta correspondiente.

El ejercicio de los Derechos ARCO, solo podrá restringirse cuando:

  • El tratamiento, transferencia y/o conservación de los datos esté previsto en una Ley, o sean necesarios para el cumplimiento de obligaciones entre el titular y la empresa.
  • El tratamiento, transferencia y/o conservación de los datos sea necesario por razones de Seguridad Nacional y Salud Pública.
  • El tratamiento, transferencia y/o conservación de los datos, pudiera afectar derechos de terceras personas.
  • Requisitos en las solicitudes: al recibir una Solicitud de Derechos ARCO, el Departamento de Tratamiento de Datos Personales deberá revisar que ésta cumpla al menos con los siguientes requisitos:
  • Nombre completo del titular que realiza la solicitud y documento con que acredite su personalidad (carta poder en caso de ser representante legal).
  • Domicilio u otro medio para comunicarle el estatus o la respuesta a la solicitud.
  • Derecho(s) ARCO que desea ejercer.
  • Descripción clara y precisa de los datos personales respecto de los cuales, desea ejercer alguno o varios de sus Derechos ARCO.
  • Elementos o documentos que faciliten la localización de los datos personales.
  • En los casos de solicitudes de Derecho de Acceso y Rectificación de Datos se deberá además atender a los requisitos adicionales descritos en la presente Política.
  • Requerimiento de información faltante: si la Solicitud de Derechos ARCO no cumple con los requisitos antes señalados, o bien la información proporcionada es insuficiente o errónea para poder atenderla, en un plazo no mayor a 5 día contados a partir del día siguiente al que se recibió la solicitud, se deberá requerir al titular a efecto de que proporcione la información faltante o necesaria para poder dar trámite a su solicitud.
  • En el caso de que el titular no haya señalado un domicilio o medio para comunicarle el estatus de la solicitud, se tendrá como NO PRESENTADA, dejando constancia de esta condición.
  • El titular de los datos personales tendrá un plazo de 10 días, contados a partir del día siguiente al que le sea notificado el requerimiento, para dar contestación. En caso de no dar respuesta se tendrá por no presentada la Solicitud correspondiente, dejando constancia de tal condición.
  • Trámite a la solicitud: la empresa tiene un plazo máximo de 20 días, contados a partir del día siguiente al que se recibió la solicitud (el cual será interrumpido en caso de que se hubiera requerido información faltante, y se volverá a empezar a contar a partir del día siguiente al cual se diera contestación al requerimiento), para dar respuesta al titular.
  • El plazo de 20 días podrá ser ampliado, por una sola ocasión, siempre que las circunstancias lo justifiquen, informando esta condición oportunamente al titular antes del vencimiento de los primeros 20 días. Durante el plazo de 20 días (y 20 días adicionales de ser el caso), la empresa deberá seguir el procedimiento descrito en el ANEXO UNO de la presente Política.
  • Tipos de respuestas a la solicitud: en todos los casos se deberá dar respuesta a las Solicitudes de Derechos ARCO que se reciban, indicando si PROCEDIÓ, PROCEDIÓ PARCIALMENTE o NO PROCEDIÓ la Solicitud, señalando de forma clara las razones que motivaron esa respuesta y acompañando, en su caso, las pruebas que resulten pertinentes.
  • Procedente: en caso de haber sido procedente, la respuesta se tendrá por cumplida cuando se ponga a disposición del titular los datos personales o las pruebas de que se ha dado trámite a su solicitud, por el medio que haya elegido para tales efectos, en un plazo no mayor a 15 días, a partir del día siguiente en que se haya notificado la respuesta.
  • El plazo de 15 días podrá ser ampliado por una sola ocasión, siempre que las circunstancias lo justifiquen, informando esta condición oportunamente al titular antes del vencimiento de los primeros 15 días.
  • Procedencia parcial: si la Solicitud resulta procedente, solo respecto a algunos datos, pero otros se encuentran bajo un impedimento de acceso, rectificación, cancelación, oposición o revocación, la respuesta se tendrá por cumplida, cuando se ponga a disposición del titular los datos personales y/o las pruebas de que se ha dado trámite a su solicitud, en los términos en los que haya resultado procedente, por el medio que haya elegido para tales efectos, en un plazo no mayor a 15 días a partir del día siguiente en que se haya notificado la respuesta.
  • El plazo de 15 días podrá ser ampliado, por una sola ocasión, siempre que las circunstancias lo justifiquen, informando esta condición oportunamente al titular antes del vencimiento de los primeros 15 días.

Improcedente: la Solicitud solo podrá ser considerada como improcedente en los siguientes supuestos:

  • Cuando el Solicitante no sea el titular de los datos personales o su carácter de representante no esté acreditado.
  • Cuando en la base de datos de la empresa no se encuentren datos personales del solicitante.
  • Cuando por el ejercicio de los datos personales, se lesione el derecho de un tercero.
  • Cuando exista un impedimento legal, o resolución judicial, que restrinja el ejercicio que se desea practicar.
  • Cuando el derecho haya sido ejercido previamente.
  • La respuesta que se dé al titular, que declare improcedente su solicitud, deberá justificar tal determinación, y se deberá informar que en caso de existir inconformidad, cuenta con un plazo de 15 días para solicitar ante el IFAI el inicio del Procedimiento de Protección de Derechos, de conformidad con la Ley y el Reglamento.
  • Medios para dar a conocer la respuesta: la respuesta se entregará personalmente al titular o solicitante, previa acreditación de su personalidad. En caso de que el titular así lo solicite, se podrá entregar por algún otro medio, siempre y cuando se cuente con la indicación expresa del titular o solicitante de esta condición, y se cuenten con los mecanismos para acreditar su personalidad por el medio que haya elegido.
  • En caso de que no se haya señalado un medio distinto, si el titular o solicitante no se presenta a recoger personalmente la respuesta en un plazo de 15 días, contados a partir de la fecha en que se notificó que se puso a su disposición, será necesario que presente nuevamente su solicitud de Derecho de Acceso, Rectificación, Cancelación, Oposición o Revocación, según corresponda.

10.1 Bloqueo y supresión

El bloqueo de los datos personales tiene como objeto impedir que continúe el tratamiento o posible acceso a los mismos, por parte de los empleados o usuarios de la empresa, salvo que exista un mandato o requerimiento judicial.

La solicitud de bloqueo de datos, la deberá ordenar el Departamento de Tratamiento de Datos Personales, a (las) área(s) correspondiente(s) que esté tratando los datos, marcando copia de todas las comunicaciones al área de Jurídico y Tecnologías de la Información, a fin de que proceda el bloqueo.

Posterior al bloqueo de los datos, se debe informar a los terceros a los que se hayan transferido, que en las mismas condiciones en que la empresa lo hará, se deberá cesar el tratamiento de esos datos personales.

El periodo de bloqueo será hasta el plazo de prescripción legal o contractual correspondiente en cada caso; una vez concluido se procederá a la supresión de los datos.En caso de no existir un impedimento para la cancelación, transcurrido un plazo de 15 días, se procederá a la supresión de los datos. La supresión de datos se sujetará a las medidas de seguridad descritas en esta Política.

11. Informe a los titulares de vulneraciones

Las vulneraciones de seguridad que se encuentren confirmadas, ocurridas en cualquier fase del tratamiento de Datos Personales, y que después de una evaluación se considere que pueden afectar de forma significativa los derechos patrimoniales o morales de los titulares, deben de ser notificadas de forma inmediata a los titulares por el Departamento de Tratamiento de Datos Personales.

Evaluación de vulneraciones: al identificar que ha ocurrido una vulneración de datos personales, el Departamento de Tratamiento de Datos Personales en coordinación con las demás áreas involucradas, deberán confirmar el tipo de vulneración, las razones por las que ocurrió, dar inicio al plan de mitigación de riesgos, de acuerdo a lo establecido en la presente Política y demás Políticas de la empresa en materia de Seguridad de la Información; evaluar el impacto de la vulneración para determinar si podría afectar los derechos del titular, y elaborar un plan de recomendaciones al titular sobre las medidas que puede tomar para proteger sus intereses debido a la vulneración.

Notificación: si la vulneración podría afectar los derechos del titular, el área de Atención de Datos Personales,el Departamento de Tratamiento de Datos Personales, elaborará un informe para el titular, en el cual se señale lo siguiente:

  • Tipo y razones de la vulneración
  • Los datos personales objeto de la vulneración
  • Recomendaciones al titular acerca de las medidas que puede tomar para proteger sus intereses
  • Acciones que la empresa ha tomado para mitigar el riesgo
  • Este informe deberá ser notificado al titular de forma inmediata, por el (o los) medio (s) de contacto directo que se tengan disponibles.

11.1 Tipos de derechos

Derecho de Acceso: los titulares podrán acceder a los datos personales que obren en la base de datos de la empresa, y conocer el tratamiento y transferencias que se han efectuado a los mismos.

Las áreas responsables del manejo de datos deberán realizar la búsqueda de los datos e información que solicita el titular. Los resultados de la búsqueda deberán ser informados al Departamento de Tratamiento de Datos Personales a fin de que se elabore la respuesta correspondiente.

Derecho de Rectificación: los titulares podrán solicitar que rectifiquen sus datos personales cuando estos sean inexactos, estén incompletos o necesiten actualizarse.

Antes de dar trámite a una Solicitud de Rectificación se deberá verificar si el titular señaló la modificación que se deberá realizar, y si aportó la documentación necesaria para acreditar que los cambios son procedentes. En caso de que la información proporcionada sea incompleta o errónea se deberá requerir la información faltante, de acuerdo a lo establecido en la presente Política.

Cuando se acredite que los cambios son procedentes, las áreas responsables del manejo de los datos deberán realizar las modificaciones solicitadas e informar al Departamento de Tratamiento de Datos Personales que se ha dado tramite a la solicitud, a fin de que elabore la respuesta correspondiente.

Derecho de Cancelación: los titulares podrán solicitar la cancelación de sus datos personales, a fin de que la empresa cese el tratamiento de los mismos.

Las áreas responsables del manejo de datos deberán realizar la búsqueda de los datos que haya señalado el titular. Los resultados de la búsqueda deberán ser informados al Departamento de Tratamiento de Datos Personales a fin de que se evalúe si es procedente o no la cancelación, de acuerdo a lo establecido en la presente Política, y en su caso elabore la respuesta correspondiente.

Para el trámite de Cancelación se estará a lo dispuesto en el apartado de Cese de Tratamiento de Datos Personales de la presente Política.

Derecho de Oposición: los titulares podrán oponerse al tratamiento de sus datos personales a fin de que cese el tratamiento de los mismos para fines específicos o generales.

Se deberá verificar que en la Solicitud de Oposición, el titular señale las causas por las cuales se opone a que la empresa continúe con el tratamiento de los datos, a fin de determinar si la solicitud es procedente de acuerdo a lo establecido en la presente Política. En caso de que la información proporcionada en la solicitud sea insuficiente, se deberá requerir al solicitante, de acuerdo a lo establecido en la presente política.

Si la solicitud es procedente, las áreas responsables del manejo de datos deberán realizar la búsqueda de los datos e información del titular. Los resultados de la búsqueda deberán ser informados al Departamento de Tratamiento de Datos Personales a fin de que los datos del titular sean incluidos en la lista de exclusión, y con la constancia de que en la inscripción a la lista se elabore la respuesta correspondiente.

Derecho de Revocación del Consentimiento: para dar trámite a las Solicitudes de Revocación de Consentimiento, se estará a lo dispuesto en los apartados de Cese de Tratamiento de Datos Personales y Cancelación, de la presente Política.

12. Responsabilidades de las áreas donde se traten datos personales

Responsabilidades de todos los empleados y usuarios de la empresa:

  • Cumplir con lo establecido en la presente Política.
  • Acceder únicamente a la información relativa a datos personales, que sea necesaria para el desarrollo de sus actividades laborales y/o contractuales, con el único propósito del cumplimiento de las mismas.
  • No compartir el nombre de usuario y contraseña que se le asigne, para acceder a la información relativa a datos personales.
  • Guardar confidencialidad de los datos personales a que tenga acceso.
  • Cooperar con las acciones y mecanismos para establecer la gestión, soporte y revisión de la seguridad de la información, así como a la identificación y clasificación de la información.
  • CElaborar el inventario de activos de información relativa a datos personales que estén a su cargo, o lleven a cabo tratamiento, de acuerdo a lo establecido en la presente Política.
  • Informar de forma inmediata a su superior jerárquico, cuando detecte que ha ocurrido una vulneración a datos personales.
  • Asistir a los programas de concienciación, formación y capacitación para la protección de Datos Personales que organice la empresa.

Responsabilidades específicas del departamento de tratamiento de datos personales:

  • Promover e implementar planes y programas de Concienciación de Protección de Datos Personales.
  • Promover la alineación de esta Política con otras Políticas de la empresa que pudieran estar relacionadas.
  • Enlace entre las áreas de la empresa involucradas en el Manejo de Datos Personales.
  • Coordinación con TI, del mantenimiento de estándares de Seguridad en Bases de Datos de Datos Personales.
  • Revisión y actualización periódica de los Avisos de Privacidad de la empresa y la presente Política.
  • Atención y asesoría a empleados y usuarios sobre el correcto manejo de Datos Personales.
  • Atención en conjunto con el Área Jurídica a Visitas de Inspección del IFAI.
  • Atención de quejas y solicitudes de los titulares relacionadas con la presente Política o cualquier otra análoga.
  • Requerir información a las distintas áreas de la empresa para la atención de quejas y solicitudes relacionadas con el ejercicio de los Derechos ARCO.
  • Mantenimiento de Listas de Exclusión de Datos Persones.
  • Preparar y dar a conocer a los titulares, los informes de vulneraciones a sus datos personales.
  • Monitoreo y evaluación periódica de los procesos internos de obtención, uso, transferencia, conservación a fin de identificar el correcto tratamiento los datos personales, de acuerdo a la Ley, el Reglamento, a la presente Política y demás Políticas aplicables.
  • Vigilar el cumplimiento de la presente Política por parte de todos los sujetos que estén involucrados en el tratamiento de Datos Personales, dentro de la empresa o para la empresa.

Responsabilidades específicas del área de atención a clientes:

Dar a conocer a los clientes o posibles clientes, el contenido y alcances del Aviso de Privacidad de la empresa, antes de recabar sus datos personales.

Recabar y resguardar de los clientes o posibles clientes, el consentimiento para el tratamiento de sus datos personales.

Responsabilidades específicas del área jurídica:

Coadyuvar con las demás Áreas de la empresa que estén involucradas con el tratamiento y protección de Datos Personales.

Brindar asesoría al Departamento de Tratamiento de Datos Personales respecto de las modificaciones y actualizaciones al Aviso de Privacidad y a las Políticas en materia de Protección de Datos.

Revisar, a petición del Departamento de Tratamiento de Datos Personales, las propuestas de contestación a quejas y solicitudes relacionadas con el ejercicio de los Derechos ARCO.

Atención en conjunto con el Departamento de Tratamiento de Datos Personales, a Visitas de Inspección del IFAI.

Responsabilidades específicas del área de talento/recursos humanos:

Poner a disposición a los empleados y usuarios la presente Política y demás aplicables.

Dar a conocer a los CANDIDATOS o ASPITANTES a puestos de trabajo, el contenido y alcances del Aviso de Privacidad de la empresa.

Dar a conocer a los Empleados el contenido y alcances del Aviso de Privacidad de la empresa.

Recabar y resguardar de los Candidatos, Aspirantes y Empleados, el consentimiento para el tratamiento de sus datos personales.

Responsabilidades del área de tecnologías de la información:

Establecer los parámetros necesarios para la protección de bases Datos Personales en los servidores, equipos, dispositivos electrónicos, u otros análogos utilizados por la empresa.

Analizar, detectar y proponer acciones para evitar alguna fuga o apertura en los medios electrónicos.

Respaldar y proteger electrónicamente la información relativa a datos personales utilizada por la empresa.

Elaborar el inventario de activos de información relativa a Datos Personales que servirá para dar el tratamiento adecuado a cada activo, estableciendo los permisos a los usuarios o perfiles funcionales autorizados, manteniéndolos actualizados con el propósito de continuar con el tratamiento de la información, o bien, eliminando las restricciones de seguridad o destruyéndola.

13. Establecimiento de medidas de seguridad

Las medidas de seguridad para la protección de datos personales, que trata la empresa, son de carácter Administrativo, Técnico y Físico.

14. Evaluación periódica de riesgos

El área de Tecnologías de la Información deberá realizar periódicamente un análisis y evaluación de riesgos como: accesos no autorizados, destrucción, pérdida, divulgación, malversación, no disponibilidad y repudio de información relativa a datos personales que esté contenida en cualquiera de los recursos, medios o soportes de la empresa, ya sean sistemas informáticos fijos, portátiles, transmitidos por medio de una red o una aplicación, impresos, escritos a mano, en cintas magnéticas, o cualquier otro.

El propósito de la evaluación de riesgos, es:

Identificar las áreas de vulnerabilidad de la información, es decir, aquellos recursos que no han sido debidamente clasificados.

Estimación de probabilidades de vulnerabilidad por acceso no autorizado, destrucción, pérdida, divulgación, malversación, no disponibilidad y repudio, o cualquier otro análogo de información relativa a datos personales.

Cálculo del riesgo, determinar si el probable riesgo causaría una afectación en los activos de la empresa de acuerdo a las reglas de clasificación y seguridad de la información.

Elaboración y aplicación de controles que minimicen la probabilidad de ocurrencia de la vulnerabilidad para mantener estándares de riesgos controlados.

Mitigación del riesgo: el área de Tecnologías de la Información deberá aplicar las medidas físicas y/o tecnológicas de prevención y corrección necesarias para prevenir y corregir el riesgo que se haya identificado en cada recurso, medio o soporte donde se traten datos personales.

14.1 Medidas de seguridad administrativas

Inventario de activos de información relativa a datos personales: cada usuario de recursos, medios o soportes en los que se almacene o se de tratamiento de información concerniente a datos personales, deberá elaborar un listado de información señalando lo siguiente:

La ubicación o soporte en que ha sido almacenado cada activo de información relativa a Datos Personales, por ejemplo: “Base de datos de Aspirantes o Candidatos”, “Base de Datos de Clientes”, “Base de Datos de Área de Cobranza”.

La asignación de un nivel de protección a cada activo, de conformidad con lo establecido en la presente Política (Alto - Medio - Bajo).

Indicación del plazo o periodo para el tratamiento de cada activo, de conformidad con lo establecido en la presente Política (identificar si se tratan de Datos Sensibles).

Indicación de los usuarios o perfiles funcionales que deberán tener acceso a cada activo.

Cada usuario o responsable del recurso deberá entregar su listado de información al responsable asignado del Área de Tecnologías de la Información. El área de Tecnologías de la Información elaborará un inventario de activos de información relativa a Datos Personales, el cual deberá ser actualizado y revisado cada seis meses y se encargará de establecer la clasificación y los protocolos de seguridad de la información que correspondan según cada caso.

De acuerdo al inventario de activos de información relativa a datos personales, tendrán identificados los recursos, medios o soportes donde se traten datos personales.

Parámetros de clasificación de información: los parámetros de clasificación de información para el establecimiento de protocolos de seguridad sonConfidencialidad, Integridad y Disponibilidad.

Para determinar el nivel de cada parámetro, a cada activo de información se le asignará un valor respecto del grado de confidencialidad, integridad y disponibilidad, conforme a los siguientes criterios:

Para determinar la Confidencialidad:

Valor Tipo de Información

1 Básica: relativo a datos personales como nombre, edad, domicilio, RFC, CURP y otros análogos. La divulgación o uso no autorizado podría causar riesgos o pérdidas leves en los activos de la empresa y en la esfera jurídica y personal del titular.

2 Media: relativo a datos personales como cuentas bancarias, saldos, propiedades y otros análogos. La divulgación o uso no autorizado de dicha información podría causar riesgos o pérdidas significativas en los activos de la empresa y en la esfera jurídica y personal del titular.

3 Alta: relativo a datos personales como estado de salud físico y mental, huellas dactilares, iris, palma de la mano y otros análogos, así como ideología, afiliación política, religión, origen étnico, preferencia sexual y otros análogos. La divulgación o uso no autorizado de dicha información podría causar riesgos o pérdidas graves en los activos de la empresa y en la esfera jurídica y personal del titular.

Para determinar la Integridad:

Valor Tipo de Información

1.- La información puede ser reparada ante alguna modificación no autorizada.

2.- La información es de difícil reparación ante alguna modificación no autorizada.

3.- La información no se puede reparar ante alguna modificación no autorizada.

Para determinar la Disponibilidad:

Valor Tipo de Información

1.- La inaccesibilidad de la información durante 1 día podría ocasionar pérdidas significativas en los activos de la empresa.

2.- La inaccesibilidad de la información durante 12 horas podría ocasionar pérdidas significativas en los activos de la empresa.

3.- La inaccesibilidad de la información durante 6 horas podría ocasionar pérdidas significativas en los activos de la empresa.

VPara determinar el nivel de pérdidas en los activos se tomará en cuenta que hay pérdidas mesurables (una pérdida material) y pérdidas no mesurables (cartera de clientes, datos personales y datos personales sensibles de clientes, estados financieros, etc.).

Una vez asignados los valores se determinará el grado confidencialidad de la información:

Ninguno de los valores asignados supera el 1 Confidencialidad Baja

Alguno de los valores asignados es 2 Confidencialidad Media

Alguno de los valores asignados es 3 Confidencialidad Alta

Fuga o vulneraciones de información: los usuarios o empleados que identifiquen la fuga o vulneración de información, deberán reportarlo de inmediato a su superior jerárquico y abstenerse de conocer el contenido de dicha información, divulgarlo o modificarlo de cualquier modo.

El superior jerárquico deberá dar aviso al Departamento de Tratamiento de Datos Personales y al área de Tecnologías de la Información, para establecer los mecanismos de control de riesgos de seguridad de la información e investigar su origen, a fin de evaluar la fuga, mitigar y dar seguimiento a la falla que derivó en el problema.

Adicionalmente, el superior jerárquico dará aviso al Área de Talento/Recursos Humanos y Jurídico, con el propósito de establecer las sanciones que correspondan a cada caso.

14.2 Medidas de seguridad técnicas

Establecimiento de permisos de acceso a la información: todos los empleados de la empresa, así como los proveedores y personal externo que desempeñen labores o proporcionen algún tipo de servicio o producto (llamados “usuarios”), deberán tener acceso sólo a la información relativa a datos personales, necesaria para el desarrollo de sus actividades laborales y/o contractuales, con el único propósito de dar cumplimiento a las mismas.

Previo al otorgamiento de cualquier acceso a información relativa a datos personales, la persona autorizada deberá firmar un acuerdo de Confidencialidad y No Divulgación con la empresa.

Posterior a la celebración del acuerdo de Confidencialidad y No Divulgación, a cada usuario se le asignará un código de usuario que lo identifique y una contraseña, los cuales les serán requeridos al momento de intentar acceder a información y datos de la empresa, para efectos de autenticación.

El código de usuario y la contraseña serán validados por un mecanismo de comprobación que certifique la autenticidad de los mismos, que en caso de ser coincidentes, iniciará una sesión en la que podrá acceder a la información y datos que le fueron autorizados. El usuario deberá cerrar su sesión al concluir sus actividades.

El nombre de usuario y contraseña son intransferibles, el propietario de los mismos es responsable del uso que se le den y de las actividades realizadas durante la sesión que haya iniciado.

Cualquier cambio o restricción en las autorizaciones de los usuarios debe ser notificada al Área de Jurídico, de Talento/Recursos Humanos y Tecnologías de la Información, con el propósito de evaluar la firma de un nuevo acuerdo de Confidencialidad y No Divulgación; y la necesidad de ajustar, dentro de los procedimientos implementados, el acceso a nuevos o distintos niveles de información y datos.

La comunicación y/o transferencia electrónica de información relativa a datos personales dentro de la empresa está permitida, pero se deberá realizar conforme a los procedimientos y herramientas de seguridad informática, que cuentan con mecanismos que aseguran la identificación del usuario que realizó la comunicación o transferencia, la seguridad de la conexión, la confidencialidad, integridad y disponibilidad de las mismas.

Rotulado de información: los documentos considerados de Confidencialidad Baja, Media o Alta, deberán ser identificados con ese nivel mediante el rotulado o etiquetado de su condición.

En caso de estar contenido en un soporte electrónico, bastará con que el título del documento o carpeta donde está almacenado, tenga la indicación del tipo de información de que se trata.

En caso de estar contenido en un medio físico se recomienda estar almacenado en un sobre, debidamente cerrado, que tenga en una parte visible la indicación del tipo de información de que se trata.

El rotulado de la información no exime la obligación del Área de Tecnologías de la Información de establecer los mecanismos de seguridad de la información, con el propósito de que el acceso a la información solo otorgue a aquellos usuarios que tienen autorizados para dicho efecto.

14.3 Medidas de seguridad físicas

Seguridad de la información: las plataformas tecnológicas (propiedad de la empresa o de terceros) que traten datos personales de clientes y empleados de la empresa, deberán cumplir con estándares de seguridad y resguardo, que garanticen los principios de confidencialidad, disponibilidad, seguridad física e integridad de la información.

Así mismo, el software o hardware (desarrollado por la empresa o por terceros), también deberán cumplir con los estándares de seguridad y tener un nivel de criticidad y confidencialidad de datos.

De manera periódica se llevarán a cabo prácticas que permitan la identificación, evaluación, mitigación y seguimiento de controles de riesgo de seguridad de la información relativa a datos personales, en cada plataforma donde se traten o almacenen datos personales, que será gestionada por el área de Tecnologías de la Información.

Cada plataforma tecnológica, sistema o conjunto de información y/o datos deberá tener un plan de contingencia y recursos que aseguren la continuidad de los procesos de negocios en un tiempo razonable, el cual deberá contemplar al menos las aplicaciones consideradas como críticas para la empresa y los riesgos más probables que puedan afectar su continuidad.

Así mismo, cada plataforma tecnológica, sistema o conjunto de información y/o datos, y aplicaciones informáticas, deberán contar con un procedimiento de control de acceso, inicio de sesión y control de cambios, que asegure que sólo se realicen los cambios autorizados, los cuales no podrán ser ejecutados, aprobados e implantados por la misma persona.

Cualquier alianza o convenio con terceros que involucre elementos que procesen datos e información relativa a datos personales de clientes y empleados de la empresa, deberán cumplir con las medidas establecidas en la presente Política.

Administración de seguridad de la información: el desarrollo, implementación y mantenimiento de las medidas de seguridad que resulten necesarias para el resguardo, integridad, confidencialidad y disponibilidad de la información y datos, dispositivos informáticos y la red de la empresa, estarán a cargo del Área de Tecnologías de la Información, que además coordinará las acciones preventivas, correctivas o de mejora continua sobre los sistemas de seguridad.

El nivel de seguridad a implementar será determinado mediante un análisis de riesgo, en el cual se tomarán en cuenta variables como vulnerabilidades, amenazas, probable incidencia e impacto.

El Área de Tecnologías de la Información deberá contar con recursos propios y las funciones de su personal no pueden ser delegadas a terceros.

15. Revisión periódica a la presente política

Los responsables de las áreas de Departamento de Tratamiento de Datos Personales, Jurídico, Talento/Recursos Humanos, Tecnologías de la Información, y demás que estén relacionados con el tratamiento de datos personales deberán reunirse al menos una vez cada seis meses para la evaluación y revisión de la presente Política, los Avisos de Privacidad de la Empresa, y de los procedimientos para la atención de Solicitudes de Derechos ARCO. Cualquier cambio deberá ser autorizado expresamente por todos los responsables de las áreas involucradas.

16. Sanciones

Las violaciones e incumplimientos a la presente Política serán revisadas caso por caso por el Departamento de Tratamiento de Datos Personales, Jurídico, Recursos Humanos y Tecnologías de la información, para determinar la gravedad de la falta y para tomar las medidas disciplinarias que correspondan, de acuerdo al siguiente orden:

Primer Incidente:si se determina que una persona ha violado o no ha observado cualquiera de las directrices previstas en esta Política, esa persona recibirá una advertencia por parte de su Coordinador, mientras se analizan las posibles consecuencias prácticas, técnicas o jurídicas. Posteriormente, se le informará sobre la gravedad de su falta y de la determinación que se haya tomado al respecto.

Segundo Incidente:si la persona reincide en una segunda violación o falta, recibirá una segunda advertencia y será reportado al área de Talento/Recursos Humanos. Tal acción puede dar lugar a una falta administrativa, una rescisión en la relación laboral, o bien, al ejercicio de una acción legal, ya sea civil, penal o administrativa.